Emotet

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Emotet ist ein Computer-Schadprogramm in Form eines sogenannten „Banking-Trojaners“, das auf modernere Versionen des Betriebssystems Windows von Microsoft abzielt, und ist i. d. R. dem Bereich der Ransomware zugeordnet. Dabei ist es auf das Abfangen von Online-Banking-Zugangsdaten spezialisiert, kann darüber hinaus jedoch noch eine Vielzahl weiterer Module mit anderen Schadfunktionen nachladen und zur Ausführung bringen.[1] Opfer der Schadsoftware sind vor allem Behörden und Unternehmen.

Geschichte[Bearbeiten | Quelltext bearbeiten]

Emotet wurde erstmals im Juni 2014 durch Trend Micro identifiziert. Betroffen waren Kunden deutscher und österreichischer Banken, deren Zugangsdaten über einen Man-in-the-Browser-Angriff abgefangen wurden. Seitdem wurden mehrere Evolutionsstufen des Trojaners entdeckt, die sich nach und nach wellenartig weltweit verbreiteten.[2] Seit Ende 2018 ist Emotet auch in der Lage, Inhalte aus E-Mails auszulesen und zu verwenden, was die Gefährlichkeit noch einmal erhöhte und dazu führte, dass das BSI explizit eine Warnung vor diesem Schadprogramm veröffentlichte. Die betroffenen Empfänger erhielten nun E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie zuvor in Kontakt standen. Dazu waren Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur zu früheren E-Mails stimmig und verleiteten auch sensibilisierte Nutzer hierdurch zum Öffnen des schädlichen Dateianhangs oder des in der Nachricht enthaltenen Links.[3] In Einzelfällen sei es bei den Betroffenen dadurch zu Ausfällen der kompletten IT-Infrastruktur und zu Einschränkungen von kritischen Geschäftsprozessen gekommen, die Schäden in Millionenhöhe nach sich zogen.[4] Es kam zu großen Produktionsausfällen und es mussten ganze Unternehmensnetzwerke nach einer Infektion mit Emotet neu aufgebaut werden.[5] CERT-Bund und Polizei-Behörden berichteten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden. Betroffen war unter anderem auch die Heise Gruppe.[6][7]

Eigenschaften und Funktion[Bearbeiten | Quelltext bearbeiten]

Emotet basiert auf Methoden, die von APT-Angriffen bekannt sind, die für den automatisierten und massenhaften Einsatz adaptiert und automatisiert wurden.[4] Es verbreitet sich vor allem durch sogenanntes „Outlook-Harvesting“, das heißt durch Erzeugen authentisch wirkender Spam-Mails anhand ausgelesener E-Mail-Inhalte und Kontaktdaten bereits betroffener Nutzer. Die so erzeugten E-Mails wirken besonders authentisch und persönlich und heben sich so von gewöhnlichen Spam-Mails ab. Meist wird es durch infizierte E-Mail-Anhänge im Word-Format auf die Rechner der Opfer gebracht.[8] Durch verschiedene Botschaften wird versucht, den Nutzer zum Aktivieren der aktiven Inhalte zu bewegen, damit die Infektion erfolgen kann.[8] Emotet ist zudem in der Lage, weitere Schadsoftware nachzuladen, über die dann etwa das Auslesen von Zugangsdaten oder ein Fernzugriff ermöglicht wird. Auch kann die nachgeladene Software verschiedene andere Lücken, wie die SMB-Schwachstelle EternalBlue nutzen, um sich weiterzuverbreiten.[3][7][9][5]

Gegenmaßnahmen[Bearbeiten | Quelltext bearbeiten]

Vor der Infektion[Bearbeiten | Quelltext bearbeiten]

Grundvoraussetzung für alle Schutzmaßnahmen ist das Einspielen aktueller Sicherheits-Updates[6] und das Vorhandensein von aktuellen Backups, die physisch vom Netzwerk getrennt sind[9]. Als direkte Gegenmaßnahme kann die Ausführung von Makros per Gruppenrichtlinie im Active Directory komplett deaktiviert werden, sollte das nicht möglich sein, so kann zumindest nur die Ausführung von signierten Makros per Gruppenrichtlinie zugelassen werden.[8] Word Anhänge können zur Prüfung auch z. B. in LibreOffice geöffnet werden, denn dort funktionieren die Makros nicht.[6] Da Passwörter aus Firefox und Outlook, bzw. Thunderbird ausgelesen werden, wird die Verwendung eines Passwortmanagers empfohlen. Arbeiten mit reduzierten Benutzerrechten (keine Adminrechte) v. a beim Surfen im Internet und beim Öffnen von E-Mail Anhängen ist sinnvoll, um zu verhindern, dass eine Infektion der Systemdateien erfolgt. Für administrative Konten werden starke Passwörter empfohlen, da Emotet diese mit Brute-Force-Methoden zu ermitteln versucht.[8]

Nach der Infektion[Bearbeiten | Quelltext bearbeiten]

Emotet verwendet verschiedene Techniken um sich vor Antivirensoftware zu verstecken und ist deshalb schwer von einem infizierten System zu entfernen. Die wichtigste Maßnahme nach einer erkannten Infektion ist, dass das befallene System möglichst schnell isoliert wird, d. h. vom restlichen Unternehmensnetzwerk und vom Internet getrennt wird, da Emotet versucht, andere Rechner im Netzwerk zu infizieren.[10] Auch ist von einer Verwendung eines Kontos mit administrativen Rechten auf einem infizierten System abzusehen, um weiteren Schaden zu begrenzen. Da sich der angerichtete Schaden auch auf Systemdateien erstreckt, sollte das System neu installiert werden, um eine restlose Beseitigung zu garantieren.[1][3] Backups können dann zur Wiederherstellung verwendet werden, wenn sie nachweislich nicht infiziert sind, d. h. während des Befalls durch Emotet keine physische Verbindung zum Netzwerk hatten, oder ständig schreibgeschützt waren.[9]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b Alert (TA18-201A) - Emotet Malware. US-CERT, 20. Juli 2018, abgerufen am 6. Juni 2019.
  2. Paweł Srokosz: Analysis of Emotet v4. CERT Polska, 24. Mai 2017, abgerufen am 7. Juni 2019.
  3. a b c Aktuelle Information zur Schadsoftware Emotet. In: BSI für Bürger. BSI, abgerufen am 8. Juni 2019.
  4. a b Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen (Pressemitteilung). BSI, 5. Dezember 2018, abgerufen am 8. Juni 2019.
  5. a b Warnung vor Schadsoftware: "Emotet" gefährdet ganze Netzwerke. Tagesschau (ARD), 5. Dezember 2018, abgerufen am 7. Juni 2019.
  6. a b c Jürgen Schmidt: Achtung Dynamit-Phishing: Gefährliche Trojaner-Welle Emotet legt ganze Firmen lahm. In: heise Online. Heise online, 5. Dezember 2018, abgerufen am 8. Juni 2019.
  7. a b Jürgen Schmidt: Emotet bei Heise. In: heise online. 6. Juni 2019, abgerufen am 6. Juni 2019.
  8. a b c d Hauke Gierow: Emotet: G DATA erklärt die Allzweckwaffe des Cybercrime. In: G DATA Blog. G Data Antivirus, 23. Januar 2019, abgerufen am 8. Juni 2019.
  9. a b c Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen. In: allianz-fuer-cybersicherheit.de. BSI, abgerufen am 11. Juni 2019.
  10. Trojan.Emotet. In: Blog. Malwarebytes Labs, abgerufen am 9. Juni 2019 (englisch).