Ein unerfreuliches Comeback: Emotet ist zurück

/ Kategorie: Threat Intelligence
Erstellt von ISPIN CSIRT

Das Emotet Malware Botnetz ist wieder aktiv. Das ist eine unangenehme und unerwartete Überraschung. Denn im Frühling haben die Strafverfolgungsbehörden nach der Übernahme der Emotet-Serverinfrastruktur eine Massendeinstallation der Malware von allen infizierten Computern veranlasst, wodurch das gesamte Botnetz im Internet ausgelöscht wurde.

Europol hat Emotet einst als «die gefährlichste Malware der Welt bezeichnet» bezeichnet. Sie funktionierte, indem massive Wellen von Spam-E-Mails an Benutzer in der ganzen Welt verschickt wurden, um diese mit dem Malware-Stamm zu infizieren. Sobald diese Systeme infiziert waren, konnte die Emotet-Bande weitere Schadprogramme herunterladen und installieren.

Emotet, auch als Heodo bekannt, wurde erstmals 2014 beobachtet. Es handelte sich um einen Banking-Trojaner, der Bankdaten und Anmeldedaten seiner Opfer stahl. Dann aber entwickelte Emotet sich zu einem Full-Service-Bedrohungsauslieferungsmechanismus. Er konnte eine Reihe von Schadprogrammen auf den Rechnern der Opfer installieren, darunter Informationsdiebe, E-Mail-Harvester, Selbstverbreitungsmechanismen und Ransomware, wobei letztere ein Rekordvolumen erreicht hat. Bis Januar 2021 war Emotet die am weitesten verbreitete Malware-Operation. All dies wurde beendet, als Europol am 27. Januar 2021 bekannt gab, dass eine internationale, weltweit koordinierte Aktion der Strafverfolgungs- und Justizbehörden das Emotet-Botnet aushebeln konnte. Die Ermittler übernahmen die Kontrolle über die Infrastruktur der Schadsoftware und schalteten das Botnet aus.

Gegenseitige Hilfeleistung unter Kriminellen

Jetzt hat sich herausgestellt, dass ein anderes Malware-Botnetz namens TrickBot der Emotet-Bande dabei geholfen hat, wieder auf die Beine zu kommen. Wie? Indem die hilfsbereiten Kriminellen die Emotet-Malware auf Systemen installierten, die zuvor mit TrickBot infiziert worden waren. Es ist wohl nur eine Frage der Zeit, bis die Emotet-Gang den Spam-Betrieb wieder voll aufnimmt. Zwar ist es unwahrscheinlich, dass Emotet schnell wieder seine frühere Grösse erreichen wird. Nichtsdestotrotz bleibt der Malware-Stamm eine sehr ausgeklügelte und fähige Bedrohung, die von keinem Unternehmen ignoriert werden sollte.

Ausgeklügelte Phishing-Mails

Die Emotet-Bande war darauf spezialisiert, besonders gut gemachte Phishing-Mails zu nutzen. Die ausgewählten Opfer erhalten personalisierte E-Mails, die scheinbar von Arbeitskollegen oder Unternehmenspartnern stammen. Inhalt der Mails sind häufig Antworten auf tatsächliche E-Mail-Konversationen, gefälschte Zahlungsaufforderungen oder aktuelle Informationen zum Tagesgeschehen. Als Anhänge werden derzeit MS-Word-Dokumente „.docm“, MS-Excel „.xlsm“ und passwortgeschützte „.zip“-Dateien verwendet. Ziel der Mails ist es stets, den Empfänger dazu zu bringen, die angehängten, manipulierten E-Mail-Anhänge zu öffnen oder Links auf verseuchte Dokumente zu klicken.

Neue Phishing-Wellen zu erwarten

Experten gehen davon aus, dass die Bande rasch wieder in grossem Stil aktiv wird. Anzunehmen ist, dass das Geschäftsmodell der letzten Jahre vor der Abschaltung wieder aufgegriffen wird: Emotet bietet anderen Cyberkriminellen Zugänge zu Emotet-infizierten Computern als Mietmodell. Hacker, die diese Zugänge mieten, nutzen sie, um eigene Ransomware zu verbreiten.

Was ist jetzt zu tun?

Emotet ist nicht die einzige Malware, mit deren Hilfe Hacker die Sicherheit der Systeme von Unternehmen und Privatpersonen gefährden. Das Emotet-Botnet wird eine Weile brauchen, um stärker zu werden. Das ist der zeitliche Spielraum für Unternehmen, um ihre Verteidigung zu errichten. Wichtig ist, die Mitarbeitenden über die Gefahren aufzuklären und die Netzwerküberwachung zu verstärken, da Emotet die Infektionen hauptsächlich über Phishing-Kampagnen verbreitet. Hilfreich sind etwa simulierte Testkampagnen, damit Mitarbeitende lernen, Phishing-E-Mails besser zu erkennen. Die IT sollte zudem die Command und Control Server auf den Perimeter-Firewalls blockieren und die Blockierliste regelmässig aktualisieren, um den maximalen Schutz zu erhalten. Nachfolgend ein Überblick von Massnahmen, um das Risiko einer Infektion zu verringern:

  • Sensibilisierung der Mitarbeiter inkl. simulierter Phishing-Kampagnen
  • Blockieren von verdächtigen Dateianhängen wie Office-Dateien mit Makros (z.B. XLSM, DOCM, PPTM), passwortgeschützte ZIP-Dateien, ausführbare Dateien (z.B. com, exe, bat, ps1 etc.)
  • Zeitnahe Installation von Sicherheitsupdates 
  • Einsatz von Endpoint-Protection-Systemen 
  • Einschränken von administrativen Benutzerrechten und Einrichten gesonderter Benutzerkonten
  • Regelmässiges Monitoring von Logdaten
  • Netzwerksegmentierung
  • Verwendung einer Multi-Faktor-Authentifizierung
  • Regelmässige und mehrstufige Backups, auch Offline-Back-ups

Wissen Sie, wie Sie reagieren müssen, wenn es zu einem Emotet-Befall kommt?

Sollte es trotz Schutzmassnahmen zu einer Infektion kommen, gilt es schnell und richtig zu reagieren um den Schaden möglichst gering zu halten und um eine weitere Ausbreitung und einen Abfluss von Daten zu vermeiden. Für einen effizienten Incident Response ist ein vordefinierter Notfallplan essentiell. Dieser beinhaltet eindeutige Regelungen über die Zuständigkeiten und Verantwortlichkeiten im Fall eines Cybervorfalls und beschreibt, wer welche Massnahmen zu ergreifen hat und wer zu informieren ist. Zudem beinhaltet er Kontakt- und Zugangslisten mit allen nötigen Informationen wie Telefonnummern, Passwörtern, Schlüsselstandorten oder Zugangskennungen. Zusammenfassend die wichtigsten Punkte eines Notfallplans:

  • Kontaktlisten
  • Zuständigkeiten mit Vertretungsregelungen
  • Verzeichnis von notfallrelevanten Zugangsdaten und Zugangs- und Systeminformationen
  • Verzeichnis über alle für Notfälle relevanten Dokumentationen und Informationen
  • Checklisten zur Fehlereingrenzung, Problemanalyse und Handlungsempfehlungen
  • Mögliche Notbetriebsverfahren und Workarounds
  • Verfahren zur Wiederherstellung der Funktion

Zusammen. Sicher.

Ist Ihr Unternehmen gut genug geschützt, um Cyberattacken standzuhalten? Kontaktieren Sie uns. Unsere erfahrenen Experten beraten und unterstützen Sie gerne. 
Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.
Incident melden!

 

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktGo to top