Das Angriffsmuster ist nicht neu. Um Zugriff auf Rechner und Unternehmsnetzwerke zu erhalten, werden von Cyberkriminellen E-Mails versendet, die entweder einen Dateianhang mit Schadcode oder einen präparierten Link enthalten, der auf eine Website mit Schadcode führt.
Ist der Schadcode erst einmal ausgeführt, verbreitet er sich im Netzwerk (lateral movement) und lädt anschließend weitere Schadsoftware nach, im Fall von Emotet u.a. den Banking-Trojaner Trickbot. Infizierte Systeme lassen sich nicht reparieren und müssen neu aufgesetzt werden.
Emotet: Neue Qualität der Phishing Mails
Neu ist die Qualität der sogenannten Phishing Mails, die den Nutzer zur Ausführung der Dateianhänge verleiten soll.
Hierfür werden zunächst die Postfächer von infizierten Rechnern ausgewertet (Outlook Harvesting), um auf der Basis gesammelter Informationen automatisch generierte Mails zu erstellen, die von bekannten Kontakten stammen, mit denen zudem erst kürzlich kommuniziert wurde. Da auch der Inhalt der Mailkommunikation ausgelesen wird, können die Phishing Mails dem Kommunikationsverhalten der Zielperson angepasst werden.
Die Methode ist mittlerweile so ausgereift, dass die Kombination aus vertrauenswürdigem Absender und passendem Inhalt viele Nutzer dazu verleitet, den Dateianhang zu öffnen bzw. enthaltene Links ohne Prüfung anzuklicken. Aufgrund ständiger Modifikationen der Malware bieten Virenscannern beim Ausführen des Trojaners keinen ausreichenden Schutz vor einer Infektion.
Schäden durch Emotet
Emotet ist offenbar so erfolgreich, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) von Millionenschäden durch Ausfälle und Einschränkungen von IT-Infrastrukturen allein in den letzten Tagen spricht.
Aufgrund der aktuellen Bedrohung durch Emotet empfehlen wir unseren Kunden, folgende Punkte beim Umgang mit E-Mails zu beachten:
1) Plausibilitätsprüfung von Absender, Inhalt und Anhängen:
- Ist Ihnen der Absender bekannt?
- Stimmen Absender im E-Mailkopf und Absender im Text überein?
- Ergibt der Inhalt der E-Mail in Bezug auf den Absender einen Sinn?
- Ist die Firmensignatur korrekt wiedergegeben und formatiert?
- Falls die E-Mail Anhänge enthält: Sind diese Dateien im Zusammenhang mit dem Mailinhalt plausibel. Sind die Dateinamen nachvollziehbar?
- Falls die E-Mail Links enthält: Stimmen die Ziele der Links mit den im Text gemachten Angaben überein.
- Bei Verdachtsmomenten sollte der vermeintliche Absender der Mail kontaktiert werden, um die Korrektheit der Mail zu verifizieren.
2) Technische und organisatorische Maßnahmen in Unternehmen:
- Automatisches Ausführen von Makros sollte deaktiviert sein (Microsoft Standardeinstellung). Über eine Gruppenrichtlinie lässt sich das Ausführen von Makros in einem Netzwerk generell unterbinden bzw. an die Nutzung einer digitalen Signatur koppeln. Die Computer Manufaktur berät Sie gerne bzgl. einer sicherheitskonformen Konfiguration Ihrer Windows Systeme.
- Virenscanner und Betriebssystem sollten stets aktuell sein (Die Hersteller arbeiten fortwährend an Lösungen zur Erkennung von aktueller und neuer Trojanersoftware und spielen diese über Aktualisierungen ein).
- Nutzung von Browsererweiterungen, welche die automatische Ausführung von Javascript durch Webseiten verhindern, wie z.B. das Plugin "NoScript".
- Jeder Mitarbeiter sollte klare Anweisungen erhalten, was bei einem erkennbaren Schadensfall zu tun ist.
- Regelmäßiges Backup – Nur hierüber ist eine Wiederherstellung befallener Systeme möglich.
Bei bestehenden Zweifeln sollten keine Anhänge geöffnet bzw. Links geklickt und die E-Mails ggf. gelöscht werden.