Schutz gegen Emotet und Phishing

Gefährliche Trojaner-Welle
Emotet Trojaner Welle

Lesezeit: etwa 2 Minuten

Was ist Emotet?

Hinter Emotet verbergen sich Cyberkriminelle, die professionelle APT-Angriffe (Advanced Persistent Threat) automatisiert haben. Emotet ist in der Lage Outlook-Kontaktbeziehungen und E-Mails von bereits infizierten Systeme auszulesen. Diese Informationen nutzt die Schadsoftware zur automatisierten Weiterverbreitung.

Warum ist Emotet so gefährlich?

Die Empfänger der Nachricht erhalten eine authentische Mail von Kollegen oder Personen, mit denen sie kürzlich in Kontakt standen. Aufgrund der korrekten Angaben des Absenders sowie Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten sehr authentisch.

Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Damit wird es den Cyberkriminellen ermöglicht Zugangsdaten zu erhalten oder einen vollständigen Zugriff auf das System zu bekommen. Emotet nutzt dazu u.a. SMB-Schwachstellen wie Eternal Blue/Romance aus. Je nach Netzwerkkonfiguration kann dabei zu Ausfällen kompletter Unternehmensnetzwerke kommen.

Beispiel für eine Emotet E-Mail

Das folgende Beispiel für Emotet zeigt eine E-Mail, die scheinbar von einem Kollegen stammt. Im Anhang befindet sich eine .doc-Datei mit einem Namen wie „Rechnung-GM54854354-265.doc“. Diese Datei enthält Makros und lädt dadurch den gefährlichen Trojaner auf das System.

Guten Tag,

ich hab versucht Sie telefonisch zu erreichen.
Leider waren Sie nicht da. Ich hab um Rückruf gebeten.
Da ich aber nicht den ganzen Tag im Büro sein werde, möchte ich Ihnen gerne sagen, dass ich schon enttäuscht bin, dass die versprochene Zahlung noch nicht angekommen ist.

Quelle: https://www.heise.de

 

Die Email enthält eine .doc-Datei, die zur Aktivierung von Makros auffordert:

Emotet-Schadsoftware
Mit anderen Gestaltungsformen und Dateinamen muss gerechnet werden.

 

Update 12.12.2018:
Die Schadsoftware verteilt sich derzeit auch vermehrt über angebliche Rechnung der Telekom.

Emotet-Telekom

Schützen Virenschutzprogramme gegen Emotet?

Leider Nein! Nach Angaben von BSI, werden die Schadprogramme aufgrund ständiger Modifikation meist nicht von gängigen Virenschutzprogrammen erkannt. Durch tiefgreifende Änderungen an infizierten Systemen, bleiben die Bereinigungsversuche in der Regel erfolglos und bergen die Gefahr, dass Teile der Software auf dem System verbleiben.

Einmal infizierte Systeme sind daher grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden.

Wie können sich Unternehmen vor Emotet schützen?

  • Informieren und sensibilisieren Sie Ihre Mitarbeiter für die Gefahren, die durch E-Mail-Anhänge oder Links entstehen können.
  • Heruntergeladene Dateien, insbesondere Office-Dokument, sollten erst nach Rücksprache mit dem Absender geöffnet werden.
  • Deaktivieren Sie die Ausführung von Makros durch Gruppenrichtlinien
  • Installieren Sie zeitnah die von Herstellern bereitgestellte Sicherheitsupdate, insbesondere für Office-Anwendungen und Betriebsysteme
  • Setzen Sie eine zentralgesteuerte Antiviren-Software in Ihrem Unternehmen ein und aktualisieren die Signaturen dafür regelmäßig
  • Überprüfen Sie den den Stand der AV-Signaturen
  • Führen Sie regelmäßig Backups durch und überprüfen Sie diese
  • Führen Sie eine Netzwerksegmentierung durch. Trennen Sie dabei die Client-/Server-/Domain-Controller-Netze sowie Produktionsnetze
  • Arbeiten Sie mit konsequenten Nutzer-Berechtigungskonzepten. Geben Sie jedem Nutzer nur soviel Rechte, wie dieser für die Erfüllung seiner Aufgabe benötigt.

Was kann ich tun wenn in meinem Unternehmen bereits IT-Systeme infiziert sind?

  • Trennen Sie das System umgehend vom Netzwerk. Ziehen Sie dazu das LAN-Kabel raus und deaktivieren Sie alle Drahtlos-Verbindungen
  • Erstellen Sie ggf. eine forensische Sicherung für spätere Analyse
  • Melden Sie sich keinesfalls mit erhöhten Rechten an dem System an
  • Infizierte Systeme sollten grundsätzlich als vollständig kompromittiert betrachtet werden, setzen Sie deshalb das System vollständig neu auf.
  • Alle Zugangsdaten (ggf. auch alle im Browser gespeicherte Zugangsdaten) sollten geändert werden
  • Stellen Sie eine Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime in Ihrem Bundesland
  • Informieren Sie Ihre Mitarbeiter über die Bedrohung

Übrigens:
Unsere Plattform Layer8 schult und sensibilisiert die Mitarbeiter im Unternehmen für IT-Sicherheit. Der Alarmticker informiert unsere Kunden über aktuelle Bedrohungen wie Emotet. Zusätzlich stellen wir die passende Schulung und Phishing Simulation zu diesen Bedrohungen bereit.

Quellen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 5,00 von 5 Sternen, basierend auf 2 Bewertungen.
Loading...

Kategorisiert in: ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*