Ganze fünf Monate war Ruhe um den gefährlichsten Trojaner der Welt. Jetzt rollt die neue Emotet-Welle und sie scheint besser durchdacht und damit gefährlicher als je zuvor. Bereits am ersten Tag, dem 17. Juli 2020, zählte die Cyber Sicherheitsfirma Proofpoint 250.000 E-Mails mit Schadanhängen[1]. Gerade zu Corona-Zeiten, in denen viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt haben, ist dies eine besorgniserregende Nachricht. Einige Sicherheitsmechanismen sind nicht genügend ausgereift oder müssen noch angepasst werden. Zudem haben Unternehmen keine Möglichkeit, die Netzwerke ihrer Mitarbeiter abzusichern. Sollten diese durch Emotet kompromittiert sein, könnte sich die Infektion leicht auf unternehmenseigene Geräte ausbreiten. Es müssen spezielle Sicherheitsmechanismen etabliert werden, um dies zu verhindern.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit 2018 eindringlich vor dem Trojaner Emotet und den damit verbundenen gefälschten, teils im Namen vertrauter Personen versendeten E-Mails. Das BSI stuft Emotet als eine der größten Bedrohungen durch Schadsoftware weltweit ein[2]. Immer wieder kommt es zu neuen Infektions-Wellen bei denen sich die Schadsoftware weiter ausbreitet. Dabei ist jede neue Version der Schadsoftware intelligenter, gefährlicher und mit höherem Schadenspotential versehen als die vorangegangene.
Häufig werden legitime und bekannte Webseiten imitiert, die dazu auffordern, eine (Fake-) URL oder einen Dateianhang zu öffnen – oft handelt es sich um URLs gehackter Wordpress Seiten. Anschließend können vertrauliche Daten abgegriffen und Schadsoftware installiert werden. Insbesondere die Ransomware Ryuk und der Trojaner Trickbot gelten als beliebte Tools der Angreifer.
Während der Angriffspausen – zwischen Mai und September 2019 und zuletzt – entwickelt sich die Software immer weiter: So zielt die neuste Masche hinter Emotet darauf ab, Betroffene durch Social Engineering dazu zu verleiten, angehängte Word- oder Excel-Dateien zu öffnen.
Unter dem Vorwand, dass diese nicht korrekt angezeigt werden können, sollen anschließend Makros aktiviert werden, durch welche sich die Schadsoftware dann im System einnisten kann. Die ausgearbeiteten Tricks, die Vielzahl neuer Links sowie insbesondere die Tatsache, dass die Schadsoftware sich in bestehende Konversationen einklinkt und Antworten im Namen von Bekannten und Kollegen weiterleitet, macht es besonders schwer, Angriffe als solche zu erkennen. Auch die Angriffswerkzeuge werden also stetig verfeinert.
Insgesamt stellt der vom BSI-Präsidenten Arne Schönbohm betitelte „König der Schadsoftware“[3] auch in Deutschland für Unternehmen, Behörden, sowie Privatpersonen erneut eine massive Bedrohung dar.
Entsprechend ist es enorm wichtig, sich der aktuellen Risiken bewusst zu sein und sofort Schutzmaßnahmen aufzubauen: Darunter fallen unter anderem regelmäßige Backups auch auf Offline-Medien, konsequente Aktualisierung (Patching) aller Geräte im Netzwerk, die Errichtung einer starken und intelligenten Firewall, die Implementierung hochwertiger Sicherheitsmaßnamen sowie ein Konzept zum Umgang mit Cybervorfällen. Zudem sollten aktuelle Sicherheitsupdates in keinem Falle ignoriert werden und verdächtigen E-Mail-Anhängen selbst vermeintlich bekannter Absender ist mit größter Vorsicht zu begegnen.
Sollten Sie die Sicherheit Ihrer IT-Infrastruktur vorbeugend prüfen wollen oder sind Sie trotz geeigneter Sicherheitsvorkehrungen Opfer eines Schadsoftware-Angriffs geworden, können Ihnen unsere Experten in allen wichtigen Bereichen der IT-Sicherheit zur Seite stehen. Unser Beratungsangebot reicht von präventiven und proaktiven Maßnahmen über eine effektive Vorfallsbewältigung bis hin zu IT-forensischen Sonderuntersuchungen.
Wir sind als „qualifizierter Dienstleiter für APT-Response“ vom BSI geprüft und blicken auf weitreichenden Erfahrungen im Umgang mit Emotet oder anders gelagerten Angriffen zurück. Damit sind wir in der Lage, schnell und effektiv maßgeschneiderte Lösungsansätze für Ihr Unternehmen zu finden.
Hinweis
Warth & Klein Grant Thornton ist durchgängig 24/7 telefonisch unter der Incident-Response Hotline +49 211 9524 8824 für betroffene Unternehmen erreichbar.
[1] https://www.golem.de/news/malware-emotet-ist-zurueck-2007-149747.html
[2] https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
[3] https://www.golem.de/news/bsi-praesident-emotet-ist-der-koenig-der-schadsoftware-1910-144480.html
