zur Startseite zur Hauptnavigation zum Hauptinhalt zum Kontaktformular zum Suchformular
web AdobeStock 330559792
Gefährliche Trojaner-Welle

Schutz gegen Emotet und Phishing

05. Dezember 2018 |  Allgeier CyRis

Was ist Emotet?

Hinter Emotet verbergen sich Cyberkriminelle, die professionelle APT-Angriffe (Advanced Persistent Threat) automatisiert haben. Emotet ist in der Lage Outlook-Kontaktbeziehungen und E-Mails von bereits infizierten Systeme auszulesen. Diese Informationen nutzt die Schadsoftware zur automatisierten Weiterverbreitung.

Warum ist Emotet so gefährlich?

Die Empfänger der Nachricht erhalten eine authentische Mail von Kollegen oder Personen, mit denen sie kürzlich in Kontakt standen. Aufgrund der korrekten Angaben des Absenders sowie Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten sehr authentisch.

Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Damit wird es den Cyberkriminellen ermöglicht Zugangsdaten zu erhalten oder einen vollständigen Zugriff auf das System zu bekommen. Emotet nutzt dazu u.a. SMB-Schwachstellen wie Eternal Blue/Romance aus. Je nach Netzwerkkonfiguration kann dabei zu Ausfällen kompletter Unternehmensnetzwerke kommen.

Beispiel für eine Emotet E-Mail

Das folgende Beispiel für Emotet zeigt eine E-Mail, die scheinbar von einem Kollegen stammt. Im Anhang befindet sich eine .doc-Datei mit einem Namen wie “Rechnung-GM54854354-265.doc”. Diese Datei enthält Makros und lädt dadurch den gefährlichen Trojaner auf das System.

Guten Tag,

ich hab versucht Sie telefonisch zu erreichen.
Leider waren Sie nicht da. Ich hab um Rückruf gebeten.
Da ich aber nicht den ganzen Tag im Büro sein werde, möchte ich Ihnen gerne sagen, dass ich schon enttäuscht bin, dass die versprochene Zahlung noch nicht angekommen ist.

Quelle: https://www.heise.de

Mit anderen Gestaltungsformen und Dateinamen muss gerechnet werden.

Update 12.12.2018:
Die Schadsoftware verteilt sich derzeit auch vermehrt über angebliche Rechnung der Telekom.

Schützen Virenschutzprogramme gegen Emotet?

Leider Nein! Nach Angaben von BSI, werden die Schadprogramme aufgrund ständiger Modifikation meist nicht von gängigen Virenschutzprogrammen erkannt. Durch tiefgreifende Änderungen an infizierten Systemen, bleiben die Bereinigungsversuche in der Regel erfolglos und bergen die Gefahr, dass Teile der Software auf dem System verbleiben.

Einmal infizierte Systeme sind daher grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden.

Wie können sich Unternehmen vor Emotet schützen?

  • Informieren und sensibilisieren Sie Ihre Mitarbeiter für die Gefahren, die durch E-Mail-Anhänge oder Links entstehen können.
  • Heruntergeladene Dateien, insbesondere Office-Dokument, sollten erst nach Rücksprache mit dem Absender geöffnet werden.
  • Deaktivieren Sie die Ausführung von Makros durch Gruppenrichtlinien
  • Installieren Sie zeitnah die von Herstellern bereitgestellte Sicherheitsupdate, insbesondere für Office-Anwendungen und Betriebsysteme
  • Setzen Sie eine zentralgesteuerte Antiviren-Software in Ihrem Unternehmen ein und aktualisieren die Signaturen dafür regelmäßig
  • Überprüfen Sie den den Stand der AV-Signaturen
  • Führen Sie regelmäßig Backups durch und überprüfen Sie diese
  • Führen Sie eine Netzwerksegmentierung durch. Trennen Sie dabei die Client-/Server-/Domain-Controller-Netze sowie Produktionsnetze
  • Arbeiten Sie mit konsequenten Nutzer-Berechtigungskonzepten. Geben Sie jedem Nutzer nur soviel Rechte, wie dieser für die Erfüllung seiner Aufgabe benötigt.

Was kann ich tun wenn in meinem Unternehmen bereits IT-Systeme infiziert sind?

  • Trennen Sie das System umgehend vom Netzwerk. Ziehen Sie dazu das LAN-Kabel raus und deaktivieren Sie alle Drahtlos-Verbindungen
  • Erstellen Sie ggf. eine forensische Sicherung für spätere Analyse
  • Melden Sie sich keinesfalls mit erhöhten Rechten an dem System an
  • Infizierte Systeme sollten grundsätzlich als vollständig kompromittiert betrachtet werden, setzen Sie deshalb das System vollständig neu auf.
  • Alle Zugangsdaten (ggf. auch alle im Browser gespeicherte Zugangsdaten) sollten geändert werden
  • Stellen Sie eine Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime in Ihrem Bundesland
  • Informieren Sie Ihre Mitarbeiter über die Bedrohung

Übrigens:
Unsere Plattform Layer8 schult und sensibilisiert die Mitarbeiter im Unternehmen für IT-Sicherheit. Der Alarmticker informiert unsere Kunden über aktuelle Bedrohungen wie Emotet. Zusätzlich stellen wir die passende Schulung und Phishing Simulation zu diesen Bedrohungen bereit.

Artikel teilen:

AdobeStock 256822296
CYBERSECURITY-WISSEN DIREKT IN IHR POSTFACH!
WERDEN SIE ZUM CYBERSECURITY INSIDER
CYBERSECURITY INSIGHTS HIER ABONNIEREN ✔

Privatsphäre-Einstellungen

Wir verwenden Cookies, um unseren Besuchern ein optimales Website-Erlebnis zu bieten, zu Statistik- und Marketingzwecken sowie zur Einbindung externer Inhalte. Im Zusammenhang mit der Nutzung dieser Technologien werden Informationen auf Ihrem Gerät gespeichert und/oder abgerufen. Für die o.g. Zwecke werden eventuell personenbezogene Daten (wie IP-Adressen, Cookie-IDs) weiterverarbeitet und teilweise an Drittanbieter (z. B. Google) übermittelt. Durch Klicken auf „Alle akzeptieren“ willigen Sie in die Verarbeitung in dem beschriebenen Umfang und zu den genannten Zwecken ein. Sie können Ihre Einstellungen jederzeit nachträglich anpassen.