Bereits im Dezember 2018 haben wir vor E-Mails mit gefährlichen Datei-Anhängen des Emotet Trojaners gewarnt. Anfang 2020 schlugen BSI, CERT-Bund und das LKA Niedersachsen Alarm, weil der Trojaner erhebliche Schäden anrichtete. Jetzt nimmt er erneut Fahrt auf und ist trügerischer denn je.
So funktioniert der Emotet Trojaner
Der Trojaner verbreitet sich via E-Mail. Das Schlimme hierbei: Die E-Mails stammen von bekannten Absendern, wodurch Opfer zunächst keinen Verdacht schöpfen. Umso größer ist die Bereitschaft, im Anhang befindliche Dateien zu öffnen. Es handelt sich um Office-Dokumente, die gefährlichen Makro-Code enthalten. Sollte dieser Code ausgeführt werden, nimmt das Unheil seinen Lauf.
Update September 2020: Im Rahmen seiner neuesten Masche versendet der Trojaner keine Dokumente, sondern gepackte Datei-Archive. Diese sind passwortgeschützt, um Virenscanner zu umgehen. Die Passwörter zum Öffnen der Archive stehen im Mailtext, ebenso wie eine irreführende Anleitung, um die Dateien zu öffnen und Makros auszuführen.
Update Juli 2020: Fast schien die Gefahr gebannt zu sein, doch in den vergangenen Wochen nahm die Anzahl der Angriffe wieder drastisch zu. Die weiterentwickelte Emotet Version stiehlt echte Dateianhänge der vermeintlichen Absender und modifiziert diese, wodurch die E-Mails noch authentischer wirken.
Update Februar 2020: Die sprachliche Qualität der Absender-E-Mails wurde deutlich verbessert, wodurch Empfänger leichter zu täuschen sind. Außerdem befindet sich die Schadsoftware zunehmend häufiger nicht mehr im Anhang. Stattdessen werden Websites verlinkt, die infizierte Dateien zum Download anbieten.
Update April 2019: Inzwischen sind E-Mails aufgetaucht, die nicht nur von gefälschten Absendern stammen, sondern außerdem bisherige Konversationen aufgreifen. Hierdurch laufen Nutzer noch leichter Gefahr, die E-Mails als echt einzustufen und gefährliche Datei-Anhänge zu öffnen.
Schäden richtet der Emotet Trojaner nicht sofort an. Stattdessen sucht er zunächst nach vorhandenen Netzwerken, um sich über diese zu verbreiten und weitere Systeme zu infiltrieren. Weiteren Schadcode lädt er über das Internet selbst nach. Zugleich wird der E-Mail Verkehr der Opfer in MS Outlook überwacht und analysiert, um beispielsweise erst Wochen oder gar Monate später neue E-Mails zu versenden und sich damit weiter auszubreiten.
Erst im Anschluss beginnt er damit, infiltrierte Systeme gezielt lahmzulegen. Die Folge können umfassende Systemausfälle sein, die Unternehmen oder Behörden nahezu handlungsunfähig machen.
Sicherheitsexperten sind sich längst darüber einig, dass der Emotet Trojaner mit sehr großem Aufwand entwickelt wurde. Es gelangen Ansätze und Technologien zum Einsatz, der sich sonst nur Regierungseinrichtungen bedienen.
Das Ausmaß des Schadens ist meist gewaltig
Sobald Emotet vollständig aktiv wird und Systeme attackiert, droht ein erheblicher Schaden. Den bisher prominentesten und womöglich größten Schaden in Deutschland hat das Kammergericht Berlin erfahren. Dessen IT-Infrastruktur wurde so beschädigt, dass ein Neuaufbau als wahrscheinlich gilt. Ein forensisches Gutachten brachte außerdem einen Datenabfluss an das Tageslicht.
Wie Sie sich vor dem Trojaner schützen
Aktuelle Sicherheits-Patches einspielen: Untersuchungen zeigen, dass sich der Emotet Trojaner längst bekannter Sicherheitslücken bedient. Microsoft hat diese Lücken schon vor längerer Zeit geschlossen. Gefährdet sind somit Systeme, auf denen noch keine Sicherheits-Patches eingespielt wurden. Unternehmen sollten folglich darauf achten, dass sie ihre Software auf dem aktuellen Stand halten.
Office Konfiguration: Besagte Datei-Anhänge sind erst gefährlich, wenn die in den Office Dokumenten enthaltenen Makros ausgeführt werden. Microsoft Office lässt sich so konfigurieren, dass dies standardmäßig nicht der Fall ist und der Nutzer eine Ausführung erst bestätigen muss.
Ergänzende technische Maßnahmen: Systemadministratoren können Systeme so konfigurieren, dass gefährliche Urls automatisch blockiert werden oder die Ausführung bestimmter Dateien in einer geschützten Umgebung (Sandbox) erfolgt. Via Netzwerk-Segmentierung lässt sich der Spielraum für Angriffe eindämmen, um das Schadensausmaß im Falle eines erfolgreichen Emotet-Angriffs zu reduzieren.
Security Awareness: Mitarbeiter sollten sich über die bestehenden Risiken im Klaren sein. Security Awareness Schulungen vermitteln das notwendige Grundlagenwissen. Im Zusammenhang mit dem Emotet Trojaner gilt es zu wissen, dass die gefährlichen E-Mails von echten Kontakten stammen und die Konversationen sehr real erscheinen, was eine höhere Bereitschaft zum Öffnen der Datei-Anhänge zur Folge hat.
Gezielte Suche: Selten schlägt Emotet sofort zu, meist vergehen einige Wochen. Sollte eine Infektion vorliegen, bleibt mit etwas Glück noch Zeit, um Daten und Systeme zu retten. Mittlerweile stehen Tools bereit, die den eingenisteten Trojaner aufspüren können.
Information Security Management und Datenschutz
Wir betreuen Unternehmen in den Bereichen Information Security Management und Datenschutz. Wenn auch Sie Ihre Prozesse sicher gestalten möchten, stehen Ihnen unsere Spezialisten gerne zur Seite und entwickeln maßgeschneiderte Lösungen. Für weitere Auskünfte stehen wir Ihnen telefonisch unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular zur Verfügung.