Dez 11
Trojaner Emotet

Vorsicht: Trojaner Emotet legt Unternehmen lahm

Chaos in Deutschland: Eine Cybercrime-Gruppe lässt via 'Dynamit-Phishing' den Trojaner Emotet auf Firmen los

Das BSI (Bundesamt für Sicherheit in der Informationstechnik), der CERT-Bund (Computer Emergency Response Team of Germany) und Sicherheitsexperten der LKAs (Landeskriminalämter) melden eine akute Flut an Trojaner-Angriffen und Schäden in Millionenhöhe. Der CERT-Bund, sowie die Polizei belegen, dass sich der Großteil der bisherigen Infektionen vor allem auf Unternehmen und Behörden konzentriert und es liegen schon etliche aktuelle Vorfälle beim LKA Niedersachsen vor.

Das gesamte Ausmaß ist noch nicht bekannt - fest steht jedoch, dass Trojaner Emotet seinem Namen alle Ehre macht und sich mittels sehr gut gemachter Phishing-Mails in die Postfächer schmuggelt. Dadurch, dass er sich so gut wie gar nicht von echten Mails unterscheidet, werden aktuell zahlreiche Firmen-Netzwerke in Deutschland infiziert.

Die Mails stammen dem Anschein nach von Geschäftspartnern, Kollegen oder Bekannten. Angeblich soll Emotet schon seit Monaten Informationen über seine Opfer sammeln und ausspionieren, wer mit wem innerhalb der Firmen kommuniziert. Mit diesen feinsäuberlich gesammelten Informationen ist es dann ein Leichtes, die Phishing-Mails optimal an das normale Kommunikationsverhalten innerhalb einer Organisation anzupassen.

Wie haben die Kriminellen das gemacht?

Offenbar hat sich die Gang der Methoden und Techniken von staatlich geförderten Hacker-Gruppen bedient. Der BSI-Präsident Arne Schönbohm äußert sich folgendermaßen: "Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden". Die qualitativ hochwertigen Angriffe (insofern man das so bezeichnen kann) stammen von konkreten Vorbildern, wie dem 'Spear-Phishing' und dem so genannten 'Lateral Movement'.

Beim Spear-Phishing senden die Angreifer perfekt zugeschnittene E-Mails an eine bestimmte Zielperson, die dazu verleiten sollen den Anhang zu öffnen. Mit dieser Methode gelingt es Kriminellen immer wieder, selbst in die vermeintlich gesicherten Netzwerke von Regierungen und Rüstungskonzernen zu gelangen. Im Gegensatz dazu, werden die Mails in der aktuellen Trojaner-Welle automatisiert erstellt und massenweise versendet. Wegen der Art der Verbreitung und Wirkung, wäre im konkreten Fall die Bezeichnung "Dynamit-Phishing" treffender.

Wie sehen die Mails aus?

Die Emotet-Mails enthalten eine Doc-Datei mit Makros, deren Abarbeitung vom Empfänger erst gestattet werden muss, nachdem diese in MS Word geöffnet wurden. Bei den Office-Dokumenten handelt es sich oft um angebliche Rechnungen. Scheinbar ist es immer wieder der Fall, dass den Makros mit dem Mausklick auf "Inhalt aktivieren" Haus und Tor geöffnet werden. Dabei werden für ein Dokument im E-Mail Postfach im Normalfall gar keine Makros benötigt.

Die Folge der Aktivierung:  Über eingebettete PowerShell-Kommandos wird der PC dann infiziert und es wird noch mehr Schad-Software aus dem Netz nachgeladen. 

Die Erstinfektion durch das Öffnen des Dokuments ist aber nicht das schlimmste. Der Trojaner macht sich die gesammelten Zugangsdaten auf dem Computer zunutze, sowie einen aus dem Geheimlabor der NSA stammenden Exploit. Erst dadurch kommt es schließlich zum erwähnten Schaden und zum Kollaps der IT Infrastrukturen. Über Jahre haben US-Hacker mit EternalBlue im Auftrag der Regierung ganze Firmennetze angegriffen.

Trojaner Emotet

Immer noch finden die Emotet-Angreifer mithilfe des Exploits Opfer, die den zur Verfügung gestellten Patch von Microsoft nicht eingestellt haben.

Wie können sich Unternehmen am besten schützen?

Die Ursache der Infektion durch Emotet liegt im Öffnen bzw. in der Ausführung von Makros, was für erhaltene Doc-Dateien eigentlich sehr selten notwendig ist. Wenn möglich, sollten Administratoren das über Gruppenrichtlinien großteils verbieten. Zumindest in der Open-Source Lösung LibreOffice und OpenOffice funktionieren die Emotet-Makros nicht. Grundsätzlich kann man davon ausgehen, dass es sich sehr wahrscheinlich um einen Trojaner handelt, wenn eine gesendete Datei das Aktivieren von Makros anfordert.

Weiters sind Maßnahmen zur Erhöhung des firmeninternen Sicherheitsniveaus zu empfehlen, die eine Ausbreitung des Trojaners verhindern. Eine Grundvoraussetzung ist natürlich auch das Einspielen aktueller Sicherheits-Updates.

Konkrete Handlungsempfehlungen für Bürger und Unternehmen finden sich auf der Seite des BSI. Unsere persönliche Empfehlung findet ihr im nächsten Absatz! ;)

>> Alles unter Kontrolle bei Bitdefender!

Bei Kunden der Antiviren-Software von Bitdefender hat es bisher zum Glück keine großen Zwischenfälle gegeben. Laut unseren Tech-Kollegen von Bitdefender ist bisher alles unter Kontrolle:

"We are currently detecting emotet, with various detection names and hashes. If you have any samples or hashes you want analyzed, please send them to us. We also have an emotet removal tool, along with documentation for it.
Please let us know if you require any additional information from us."