Die Emotet-Angriffswelle hält Deutschland weiter in Atem

Illustration: Geralt Absmeier

Stadtverwaltungen, Kliniken und Universitäten hatten in letzter Zeit vermehrt mit Hackerangriffen zu kämpfen. Sie alle wurden von Emotet lahmgelegt. Der Trojaner zählt aktuell zu den gefährlichsten Schadprogrammen, warnt das BSI. Gegen Malware jeglicher Art können sich Unternehmen allerdings schützen, wenn E-Mail-Links und -Anhänge in Hardware-isolierten Micro-VMs ausgeführt werden.

Die Schadsoftware Emotet wird nicht ohne Grund als eine der größten Gefahren für die Unternehmens-IT bezeichnet. Die Kombination aus Dynamit-Phishing und Ransomware kann für Unternehmen und Organisationen zu einer Bedrohung werden, die existenzgefährdende Ausmaße annimmt. Das Kammergericht Berlin, die Universität Gießen, das Klinikum Fürth sowie die Städte Frankfurt und Bad Homburg wurden zuletzt von Cyberkriminellen angegriffen. Auch Bundesbehörden waren unter den Opfern – die dabei kopierten Daten nutzten die Angreifer dazu, betrügerische E-Mails im Namen zahlreicher Ämter zu verschicken.

 

Anzeige

Angreifer müssen ins Leere laufen

»Die Folgen der Emotet-Attacken waren gravierend: Behörden blieben wegen der Abschaltung der IT-Systeme geschlossen, Kliniken haben keine neuen Patienten angenommen und mussten Operationen verschieben, Mitarbeiter konnten teilweise ihre Computer nur noch als Schreibmaschine nutzen, nachdem die Geräte unter Quarantäne gestellt wurden. Neben dem Verlust sensibler Daten kann eine Infektion durch die Schadsoftware so weit führen, dass ganze IT-Infrastrukturen neu aufgebaut werden müssen«, betont Jochen Koehler, Regional VP Sales Europe bei Bromium in Heilbronn. »Die Frage lautet also, wie können sich Unternehmen und Organisationen schützen?«

Niedersachsens Finanzbehörden gehen inzwischen sogar so weit, dass sie aus Angst vor Cyber-Attacken Mails mit Linkadressen oder Office-Anhängen blockieren. Daten und Infrastrukturen zu schützen, indem man Zugriffe auf Anhänge und Internetlinks in E-Mails an sich verhindert, gehört sicherlich zu der Art von Maßnahmen, die man als letzten Ausweg betrachten könne, erklärt Jochen Koehler. Intelligente Lösungen auf Grundlage von Micro-Virtualisierung setzen hingegen darauf, die Wirkung von Schadsoftware zu verhindern, ohne diese als solche erkennen zu müssen, indem sie den Angreifer quasi ins Leere laufen lassen. Bei der Micro-Virtualisierung wird jede riskante Anwenderaktivität wie das Öffnen eines E-Mail-Anhangs oder das Downloaden eines Dokuments in einer eigenen Micro-VM (Virtual Machine) gekapselt. Eine mögliche Schädigung durch ein Schadprogramm bleibt dadurch immer auf die jeweilige Micro-VM beschränkt, die zudem nach Beendigung einer Aktivität wieder automatisch gelöscht wird. Eine Kompromittierung des Endgerätes und nachfolgend des Netzwerks über einen dieser Angriffswege ist damit ausgeschlossen.

»Früher kletterten Kriminelle über den Zaun, heute dringen sie digital ein. Dabei werden die Cyberkriminellen immer erfinderischer: Emotet ist deshalb so gefährlich, weil er ständig weiter verbessert wird. In Sicherheit sollte sich deshalb niemand wiegen, längst stehen Unternehmen und Einrichtungen jeder Größe und Branche im Fadenkreuz der Hacker, wie die zahlreichen Angriffe der letzten Wochen gezeigt haben«, so Jochen Koehler weiter.

Anzeige

 

Emotet ist besonders trickreich

Emotet versteckt sich in den Anhängen von E-Mails, etwa als Word-Dokument, oder in eingefügten Links auf Web-Seiten, die den Schadcode ausliefern. Wird der infizierte Anhang geöffnet beziehungsweise der Link angeklickt, späht das Programm die infizierten E-Mail-Systeme aus. Emotet hat dabei die Fähigkeit, neben Kontaktinformationen auch Nachrichteninhalte auszulesen. Über diesen Türöffner kann sich die Schadsoftware lange Zeit unerkannt weiterverbreiten und täuschend echt aussehende Spam-Mails von Absendern verschicken, mit denen man zuletzt in Kontakt stand. Emotet lädt aber nicht nur Überwachungssoftware auf den Rechner, sondern auch weitere Schadprogramme nach: beispielsweise Ransomware, die flächendeckend die Daten eines infizierten Systems verschlüsselt oder ganze Netzwerke lahmlegt und dann Lösegeld fordert.

 


Emotet kehrt nach Deutschland zurück

 

Die Gefährlichkeit der Schadsoftware Emotet hat insbesondere Ende 2019 in den Medien für Schlagzeilen gesorgt. Eine Gruppe von Cyberkriminellen, die diese Malware in extrem großem Umfang einsetzt, sticht besonders hervor: TA542 (Threat Actor 542). Diese Gruppe ist in der Lage, Angriffe in einer Größenordnung und einem Maßstab durchzuführen, wie wohl keine andere Gruppe Cyberkrimineller derzeit in der Lage ist. Nun hat sich die Gruppe über Weihnachten eine Pause gegönnt und keine neuen Angriffskampagnen durchgeführt.

Doch die einseitige »Waffenruhe« ist seit letzter Woche schon wieder vorbei. Die Experten des US-amerikanischen Cybersecurity-Experten Proofpoint beobachten seit Montag verstärkte Aktivitäten von TA542, bei der die Kriminellen Emotet zum Einsatz bringen.

Diese jüngsten Emotet-Aktionen begannen mit dem Angriff auf Pharmaunternehmen in den USA, Kanada und Mexiko am vergangenen Montag. Doch im Laufe der Woche verstärkten die Cyberkriminellen ihre Bemühungen – sie greifen nun auch Ziele im deutschsprachigen Raum an. TA542 setzt dabei auf E-Mails mit einem Microsoft Word-Dokument als Dateianhang. Dieses Dokument enthält Makros, die versuchen die Systeme unachtsamer Empfänger mit Emotet zu infizieren. Aktiviert der Benutzer die Makros, ist es bereits zu spät. Bei diesen neuesten Angriffen lädt Emotet »Tick« herunter, einen Banking-Trojaner.

»Emotet ist eine der weltweit schlimmsten Cyberbedrohungen und Organisationen weltweit sollten die Rückkehr der Schadsoftware sehr ernst nehmen. Dies ist insbesondere deshalb so gefährlich, da TA542 auf eine derart leistungsfähige Infrastruktur zurückgreifen kann wie keine andere Gruppe Cyberkrimineller. Der jüngste Anstieg der Aktivitäten von TA542 zeigt, dass diese Gruppe nicht härter, sondern intelligenter arbeitet. Sie haben im Jahr 2019 150 Tage Urlaub genommen und selbst mit diesen langen Pausen sind sie unglaublich effektiv. Als die Gruppe TA542 im September 2019 aus einer Sommerpause zurückkehrte, machte allein deren Aktivitäten weltweit mehr als 11 Prozent aller bösartigen Dateianhänge aus, die wir im gesamten dritten Quartal dieses Jahres beobachten konnten – obwohl sie in diesem Zeitraum von drei Monaten nur zwei Wochen lang aktiv waren. Es ist wichtig, dass die Sicherheitsteams weiterhin die Kommunikation via E-Mail besonders absichern und die Nutzer über die erhöhten Risiken von E-Mail-Anhängen aufklären.« – Sherrod DeGrippo, Senior Director Threat Research and Detection, Proofpoint

Weitere Details zur aktuellen Kampagne von TA542 mit der Schadsoftware finden Sie neuesten Blogpost von Proofpoint.
https://www.proofpoint.com/us/corporate-blog/post/emotet-returns-after-holiday-break-major-campaigns

 


 

31 Artikel zu „Emotet“

Keine Mails sind auch keine Lösung

In Behörden und Verwaltungen finden sich in hohem Umfang vertrauliche Daten von Bürgerinnen und Bürgern. Zudem können sie eigentlich weder den Empfang von E-Mail-Anhängen noch den Zugriff auf Webseiten strikt reglementieren, da sie berechtigte Anliegen enthalten können. Jedenfalls war das der bisherige Ansatz: Niedersachsens Finanzbehörden blockieren nun Mails mit Linkadressen oder Office-Anhängen und gehen damit…

Doppelte (Ver)Sicherung gegen Ransomware

Ransomware-Attacken bedrohen unter anderem durch Verschlüsselung den Zugriff von Informationen, Systemen und Unternehmensabläufen. Gerade bei einem solchen Angriff auf deren Verfügbarkeit schützen Backup und IT-Sicherheit nur in der Kombination. Ransomware scheint die Bedrohung »der Stunde« zu sein. Nicht nur die Schlagzeilen deuten darauf hin. Auch Entscheider sehen die Gefahr: Laut einer Arcserve-Umfrage rechnen 80 %…

Cyber-Security: Sicherheitsprognosen für das Jahr 2020

  Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet.   Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits…

Cyberkriminelle treffen Unternehmen unvorbereitet mit alten Taktiken

Cyberangreifer umgehen gängige Phishing-Taktiken, um Code in öffentlich zugängliche Dienste einzuschleusen. Fortinet gab die Ergebnisse seines »Global Threat Landscape Report« für das dritte Quartal 2019 bekannt [1].  Die wichtigsten Ergebnisse der Studie im Überblick:   Verlagerung der Taktiken, um Unternehmen aus dem Hinterhalt zu treffen Ein Großteil an Malware wird per E-Mail verbreitet. Viele Unternehmen gehen daher…

Unternehmen fordern strengere gesetzliche Vorgaben für IT-Sicherheit

Besserer Schutz vor Cyberangriffen in der Wirtschaft notwendig. Phishing, Erpressung, Manipulation: 13 Prozent hatten kürzlich einen IT-Sicherheitsvorfall. Unternehmen nutzen verstärkt künstliche Intelligenz für Angriffserkennung oder Authentifizierung.   Fast jedes zweite Unternehmen in Deutschland (47 Prozent) fordert höhere gesetzliche Anforderungen an die IT-Sicherheit in der Wirtschaft. Das hat eine repräsentative Ipsos-Umfrage im Auftrag des TÜV-Verbands unter…

Digitale Identitäten schützen: BSI entwickelt Sicherheitskatalog für eIDs

  Anlässlich des Digitalgipfels der Bundesregierung in Dortmund hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Security Framework für digitale Identitäten vorgestellt. Damit kann Deutschland zum Vorreiter bei der Entwicklung sicherer digitaler Identitäten werden, die sowohl hoheitlich als auch privatwirtschaftlich einsetzbar sind.   »Ohne digitale Identitäten funktioniert kein Online-Banking, kein Online-Shopping, keine Online-Services…

State of Cybersecurity Report: Gesteigertes Sicherheitsbewusstsein

Die digitale Transformation treibt Unternehmen dazu, ihre Sicherheitsmaßnahmen zu überdenken. Immer mehr konzentrieren sich IT-Experten auf IoT und Cloud und entwickeln eigene Systeme zum Schutz gegen Cyberbedrohungen.   Der Report »State of Cybersecurity Report 2019« von Wipro Limited unterstreicht die wachsende Bedeutung der Cyberabwehr für Unternehmen, den CISO als neue Rolle im Vorstand und belegt…

Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen

Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…

Vier Best Practices zum Schutz vor modularer Malware: Bösartige Multitalente

Modulare Malware bietet Cyberkriminellen eine Architektur, die robuster, flexibler und gefährlicher ist als klassische dokumentenbasierte oder webbasierte Malware. Denn die Schadware beinhaltet verschiedene Nutzlasten und Funktionen und kann diese selektiv starten, je nach Ziel und Funktion des Angriffs. Die Vorgehensweise der Cyberkriminellen Mit dem Aufkommen von Botnetzen, die Befehle von Cyberkriminellen ausführen, und Malware, die…

Der unaufhaltsame Aufstieg der Ransomware

Angriffe mit Ransomware haben in den letzten Jahren massiv zugenommen. Jüngste Opfer sind die Verlagsgruppe Heise und die Stadtverwaltung Baltimore. Die Methode hat sich aus Sicht der Cyberkriminellen bewährt, genügend Firmen geben der Erpressung nach und zahlen das geforderte Lösegeld. Ein Ende ist noch lange nicht in Sicht. Unternehmen können allerdings mit Hilfe von Applikations-Isolation…