Ihr IT-Dienstleister aus Karlsruhe

Emotet – wie gefährlich ist die Schadsoftware?

16. Oktober 2020
Verfasst von Julia Schreiber

Emotet: Der Malware-König ist wieder aktiv

Bild: © James Thew - Adobe Stock

Ein Schadprogramm mit Spitzname: „Malware-König“ nannte das Magazin heise im Frühjahr Emotet. Zuletzt war es ruhig geworden um den ungekrönten Monarchen. Doch nun ist die Malware, der unter anderem der folgenschwere Cyberangriff auf das Berliner Kammergericht zugeschrieben wird, wieder aktiv. Und wie in der Vergangenheit nutzten Cyberkriminelle die mehrmonatige Pause, um Emotet weiterzuentwickeln.

Anfänge als Banking-Trojaner

Als Emotet 2014 – damals unter dem Namen „Dridex“ – erstmalig auf sich aufmerksam machte, handelte es sich um einen klassischen Banking-Trojaner. Dieser versendete in Deutschland sowie in Österreich gefälschte Rechnungen und angebliche Kundenschreiben von Banken. Wer auf den Mail-Anhang oder einen im Text enthaltenen Link klickte, installierte eine Spähdatei, die Bankdaten des Nutzers kopierte.

In den Folgejahren entwickelte sich die Schadsoftware kontinuierlich weiter, der Aufbau wurde modularer, sie unterdrückte Sicherheitswarnungen der Banken und erweiterte ihre Aktivität auf die Schweiz – blieb aber im Kern ein relativ simpler Trojaner mit ausführbarer .exe-Datei.

Weiterentwicklung zur trickreichen Allround-Malware

Größere Änderungen kamen 2017: Seit der vierten Generation ist Emotet weltweit aktiv und nutzt Microsoft-Office-Dokumente mit Makros (oder Links zu einem solchen Dokument), die Schadprogramme aus dem Internet nachladen und ausführen.

Mit dem ursprünglichen Banking-Trojaner hat dies wenig gemein: Emotet setzt mittlerweile auf eine Vielzahl verschiedener Schadprogramme. Ist ein Rechner infiziert, arbeiten sich die verschiedenen Schadprogramme durch das Netzwerk und infiltrieren weitere Systeme. Um die Erfolgsaussichten zu erhöhen, nutzt Emotet das „Outlook Harvesting“: Hierbei wird das Adressbuch des potenziellen Opfers ausgespäht und die gewonnenen Erkenntnisse eingesetzt, um in der späteren Kommunikation Echtheit zu suggerieren.

Die seit wenigen Wochen aktive Emotet-Variante geht noch einen Schritt weiter: Wie das Magazin Golem berichtet, klinkt sich die Malware nicht mehr nur in frühere E-Mail-Konversationen ihrer Opfer ein, sie verwendet auch deren (gutartige) Anhänge, um möglichst authentische Mails zu generieren. Die Schadsoftware lädt sich nach, sobald das Opfer auf den Link in der Mail klickt. Dann werden Bankdaten abgegriffen und mit etwas Verzögerung der gesamte Rechner verschlüsselt sowie Lösegeld erpresst. Ein „Malware-König“, dessen Spitznamen nicht von ungefähr kommt.

Risiko erkannt, Risiko gebannt?

Weit über 30.000 Varianten gab es bereits 2019 von Emotet, die Tendenz ist steigend. Die Herausforderung besteht darin, dass neue Varianten erst mit zeitlicher Verzögerung oder gar nicht mehr von signaturbasierten Virenscannern erkannt werden. Teilweise beobachten Sicherheitsforscher stündlich kleinere Anpassungen.

Doch obwohl die Schadsoftware sehr variantenreich ist, minimieren einige grundlegende Maßnahmen (InterConnect unterstützt Sie gerne bei der Umsetzung) das Risiko einer Emotet-Infektion:

  1. Sensibilisierung von Mitarbeitern für die Gefahren durch E-Mail-Anhänge oder Links – selbst bei vermeintlich bekannten Absendern. Auch sollten Berechtigungen für Nutzerkonten auf notwendige Rechte beschränkt werden und (sofern möglich) Makros über Gruppenrichtlinien deaktiviert werden.
  2. Patch Management: Zeitnahe Installation von Sicherheitsupdates für Betriebssysteme und Anwendungen. Besonders wichtig sind in diesem Zusammenhang Browser, E-Mail-Client und Office-Anwendungen.
  3. Aktuelle und zentral administrierte Antivirus-Lösung.
  4. Regelmäßige, mehrstufige Backups der Unternehmensdaten.
  5. Regelmäßiges Monitoring von Logdaten, sowohl manuell als auch automatisiert (mit Alarmierung bei schwerwiegenden Anomalien).
  6. Netzwerk-Segmentierung mit jeweils isolierter Administration.
  7. Klare Prozesse: Mit wem müssen Mitarbeiter bei Auffälligkeiten Rücksprache halten? Welche Maßnahmen werden ergriffen?

 

Sie benötigen ein (neues) IT-Sicherheitskonzept? Haben Beratungsbedarf zu geeigneter Hard- und Software? Oder möchten Sie technologiegestützt Ihre Mitarbeiter für IT-Security sensibiliseren?
Kommen Sie auf uns zu - wir beraten Sie gerne.

 

 

Diese Website verwendet technisch notwendige Cookies. Statistische Angaben zu Websitezugriffen und die Verweildauer werden anonymisiert erfasst. Beim Klick auf die Schaltfläche wird ein Cookie gesetzt, das diesen Hinweis bei zukünftigen Besuchen ausblendet. Ihre Einwilligung können Sie jederzeit über die Datenschutzerklärung widerrufen. Diese enthält auch ausführliche Informationen zu den genannten Cookies. Impressum

OK