Warnung: Die gefährlichste Schadsoftware der Welt

Warnung: Die gefährlichste Schadsoftware der Welt

BSI warnt davor, dass auf deutsche Firmen eine Welle von Cyberangriffen zurollt

Die Sommerpause ist anscheinend auch für Cyberkriminelle wieder vorbei, denn in den vergangenen Tagen hat die Schadsoftware Emotet, die vom BSI als „gefährlichste Schadsoftware der Welt“ bezeichnet wird, wiederholt erheblichen Schaden in der deutschen Wirtschaft und bei Behörden angerichtet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte in einer Pressemitteilung vom 23.09.2019: “Seit rund einer Woche wird Emotet wieder massenhaft versandt und hat binnen weniger Tage für Produktionsausfälle, den Ausfall von Bürgerdiensten in Kommunalverwaltungen und zahlreiche infizierte Netzwerke gesorgt. Man kann es nur gebetsmühlenartig wiederholen: Viele dieser Schäden sind vermeidbar, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden! Dazu zählt u.a. die Sensibilisierung der Belegschaft genauso wie regelmäßige Back-ups oder das Einspielen von Sicherheitsupdates” Darüber hinaus werden auch Privatanbieter zur Vorsicht ermahnt, da Emotet in der Lage ist weitere Software nachzuladen, die sich Zugang zu den Online-Banking Daten der Nutzer verschaffen kann.

Bild von Pexels auf Pixabay

Das BSI hegt die Befürchtung, es könne sich um den Beginn einer groß angelegten Kampagne von Cyber-Kriminellen handeln, daher wurde eine Warnung an die Bundesverwaltung, Betreiber kritischer Infrastrukturen und verschiedene Unternehmen in Deutschland verschickt. „Wenn man sich nicht auf die Bedrohungslage vorbereitet, ist die Wahrscheinlichkeit groß, dass man Opfer wird“ äußerte sich BSI-Präsident Arne Schönbohm.

Zum ersten Mal wurde im Jahr 2014 von Sicherheitsexperten auf eine neue Bedrohung in Form des Banking-Trojaners Emotet aufmerksam gemacht. Diese Schadsoftware drang in fremde Computer ein und spähte vertrauliche Daten, vornehmlich Zugangsdaten für online-banking aus. In die Systeme gelangte Emotet über Spam-Mails, die ein bösartiges Skript, ein Dokument mit aktivierten Makros oder einen bösartigen Link enthielten. Diese ersten Emotet-E-Mails waren oft gut gefälscht und täuschend echt als reguläre E-Mails getarnt. Sie versuchten, die Benutzer zum vorsätzlichen Anklicken der bösartigen Dateien zu animieren, indem sie eine vermeintlich harmlose Betreffzeile wie „Ihre Rechnung“ oder „Zahlungsdetails“ verwenden. Mitunter wurden auch die Namen von bekannten Paketdiensten missbraucht, um eine bevorstehende Lieferung anzukündigen.

Bild von Gerd Altmann

Outlook-Harvesting

Emotet tauchte in den letzten Jahren in verschiedenen, von Mal zu Mal stets weiterentwickelten, Versionen auf. Die aktuellen Spam-Mails zur Vermeidung von Emotet sind allerdings noch eine Spur hinterhältiger. Sie werden zwar wie zuvor mit gefälschten Absendern verschickt, allerdings sind diese Mails als vermeintliche Antwort auf tatsächlich geschriebene Mails getarnt. Man hat also den Eindruck ein Kollege, Freund oder Geschäftskontakt schreibt einem, da die Mails auch Zitate aus der vorhergehenden E-Mail-Konversation enthalten. Die Mails enthalten wie schon früher entweder ein schädliches Office-Dokument direkt als Dateianhang oder einen Link, der einen zum Download eines solchen Dokuments führt. Gerade die Authentizität der Texte verführt die Empfänger dazu den Links zu folgen bzw. die angehängten Dateien zu öffnen.

Bild von IO-Images auf Pixabay

Ist Emotet erst einmal in ein System eingedrungen, späht er die Zugangsdaten zu den dort verwendetet E-Mail-Konten aus und beginnt an das Adressbuch weitere Spam-Mails mit infizierten Anhängen zu verschicken. Dabei wertet diese Schadsoftware wiederum die vorher mit den Kontakten erfolgte E-Mail-Kommunikation aus und versucht so echt klingende Mails wie möglich zu erstellen und zu versenden. Anschließend beginnt Emotet darüber hinaus weitere Software auf dem infizierten System zu installieren, dabei handelt es sich meist zunächst um Banking-Trojaner wie oben beschrieben gefolgt von einer sogenannten Ransomware, also einem Verschlüsselungstrojaner, der sämtliche Daten verschlüsselt und das Netzwerk lahmlegt. Einer erfolgreichen Verschlüsselung folgt meist von eine Lösungsgeldforderung, in der der Betreiber der infizierten Rechner dazu aufgefordert wird einen bestimmten Betrag in einer Kryptowährung auf einer anonymen Wallet zu hinterlegen.

Bild von Markus Spiske auf Pixabay

Über die Methode des Outlook-Harvestings hinaus, verwendet Emotet auch ein Exploit namens EternalBlue, welches in der Lage ist sich selbstständig innerhalb eines Netzwerkes zu verbreiten.

EternalBlue ist ein einst der NSA abhandengekommenes Angriffswerkzeug, das in der Folge auch Teil der globalen Zerstörungswelle von NotPetya wurde. Microsoft hat schon vor eineinhalb Jahren Patches zur Verfügung gestellt, die EternalBlue stoppen, diese sind aber längst nicht auf allen Windows-Rechnern eingespielt worden.

Snowden-Autobiographie als Köder

Neuerdings ist wohl auch eine weitere Taktik dazu gekommen, mit der die Kriminellen versuchen Empfänger zum Öffnen von Anhängen zu verleiten. Dabei wird eine Worddatei mitgeschickt, die angeblich die Biographie des Whistleblowers Edward Snowden enthält. In den Mails steht dazu Text wie z.B. „dies ist das Buch, das die Regierung nicht lesen möchte“. Öffnet man das „Buch“ müssen nur noch die Makros aktiviert werden und schon ist Emotet auf dem jeweiligen System.

Bereits mehrere Warnungen durch das BSI

Das Bundesamt für Sicherheit in der Informationstechnik hatte bereits im Dezember 2018 und April 2019 vor Emotet gewarnt und als „weltweit gefährlichste Schadsoftware“ bezeichnet.

In den vergangenen Tagen hat das BSI bereits mehrere tausend E-Mail-Konten, sowohl geschäftliche als auch private, an die jeweilig zuständigen Provider gemeldet und diese gebeten die betroffenen Konten zu sperren um eine weitere Verbreitung von Emotet einzudämmen.

Hohe Kosten durch Emotet

Die Kosten für die Beseitigung von Emotet sind sehr hoch, die Stadtverwaltung von Allentown in Pennsylvania (USA) musste letztes Jahr z.B. mehr als eine Million Dollar ausgeben, um ihre System säubern zu lassen. Darüber hinaus droht auch ein massiver Verdienstausfall, wie etwa Anfang September bei der Stadtverwaltung Neustadt am Rübenberge bei Hannover, wo Dienstleistungen wie die KFZ-Zulassung nicht mehr angeboten werden konnten https://www.heise.de/security/meldung/Ransomware-Neue-Emotet-Welle-legt-Neustaedter-Stadtverwaltung-lahm-4518819.html.

Auch beim Heise-Verlag in Hannover gab es dieses Jahr einen Emotet-Befall, der gravierende Schäden angerichtet hat https://www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html.

Bild-von-Pete-Linforth-auf-Pixabay

Maßnahmen um sich zu schützen

Der Präsident des BSI teilte in einer Pressekonferenz mit dass viele der Schäden vremeidbar seien, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden würden.

Auf der Seite www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html listet das BSI jede Menge Maßnahmen auf, die von den jeweiligen Behörden oder Unternehmen ergriffen werden sollten, um sich gegenüber Angriffen mit Schadsoftware, wie beispielsweise Emotet zu schützen. Dazu zählen die Sensibilisierung der Belegschaft genauso wie regelmäßige Backups oder das Einspielen von Sicherheitsupdates, der Einsatz zentral administrierter Anti-Viren-Software, das regelmäßige Monitoring von Log-Daten, Netzwerk-Segmentierungen aber auch die Deaktivierung von Makros und OLE-Objekten in Microsoft Office und die Deaktivierung von administrativen Freigaben.

Auch Maßnahmen, die zu ergreifen sind, wenn Teile des Systems bereits infiziert werden durch das BSI auf der Seite genannt, wie etwa die umgehende Isolierung der betroffenen Systeme vom übrigen Netzwerk sowie die anschließende Änderung aller auf den Systemen gespeicherter Passwörter.

Der beste Schutz ist und bleibt aber nach wie vor eine Sensibilisierung aller Mitarbeiter, so meine Ansicht. Ich kann es jedem Unternehmen nur empfehlen darüber hinaus eine(n) entsprechend ausgebildete(n) Informationssicherheitsbeauftragte(n) zu benennen, die oder der sich mit Schadsoftware auskennt und in der Lage ist Schwachstellen im Unternehmen zu finden und dadurch Gegenmaßnahmen einzuleiten bevor der Ernstfall eintritt und das komplette System lahmgelegt ist. Die Warnung des BSI vor Emotet als gefährlichste Schadsoftware der Welt erfolgt völlig zu Recht und sollte in keinem Fall auf die leichte Schulter genommen werden. 

Update: Emotet befällt MHH

Die medizinische Hochschule Hannover wurde Opfer eines Angriffs mit der Emotet Schadsoftware. Laut Angaben der Hochschule wurden ca. 170 Rechner infiziert. Medizinische Daten sollen nicht betroffen sein, eine weitere Ausbreitung ist aber nicht ausgeschlossen.

Menü schließen

Warnung: Die gefährlichste Schadsoftware der Welt

by paul time to read: 5 min
0