Emotet – wie gefährlich ist die Schadsoftware?
16. Oktober 2020, aktualisiert am 26. November 2021
Verfasst von Julia Schreiber
Bild: © James Thew - Adobe Stock
Ein Schadprogramm mit Spitznamen: „Malware-König“ nannte das Magazin heise im Frühjahr Emotet. Der BR betitelt es in einem Kommentar als „das übelste Stück Ungeziefer, das jemals im Cyberspace“ unterwegs war. Dann im Januar 2021 der Coup: Einer internationalen Ermittlergruppe unter Beteiligung des deutschen Bundeskriminalamts gelang es, die Infrastruktur hinter Emotet zu zerschlagen und die Schadsoftware auf vielen betroffenen Rechnern für die Täter unbrauchbar zu machen.
Nun ist der ungekrönte Monarch zurück. Nach derzeitigen Erkenntnissen nutzt Emotet die Infrastruktur der Trickbot-Malware, das eigene Botnetz scheint nachhaltig zerstört. Was ist aktuell über Emotet bekannt? Und wie können sich Unternehmen davor schützen?
Emotet: Anfänge als Banking-Trojaner
Als Emotet 2014 – damals unter dem Namen „Dridex“ – erstmalig auf sich aufmerksam machte, handelte es sich um einen klassischen Banking-Trojaner. Dieser versendete in Deutschland sowie in Österreich gefälschte Rechnungen und angebliche Kundenschreiben von Banken. Wer auf den Mail-Anhang oder einen im Text enthaltenen Link klickte, installierte eine Spähdatei, die Bankdaten des Nutzers kopierte.
In den Folgejahren entwickelte sich die Schadsoftware kontinuierlich weiter, der Aufbau wurde modularer, sie unterdrückte Sicherheitswarnungen der Banken und erweiterte ihre Aktivität auf die Schweiz – blieb aber im Kern ein relativ simpler Trojaner mit ausführbarer .exe-Datei.
Weiterentwicklung zur trickreichen Allround-Malware
Größere Änderungen kamen 2017: Seit der vierten Generation ist Emotet weltweit aktiv und nutzt Microsoft-Office-Dokumente mit Makros (oder Links zu einem solchen Dokument), die Schadprogramme aus dem Internet nachladen und ausführen.
Mit dem ursprünglichen Banking-Trojaner hat dies wenig gemein: Emotet setzt auf eine Vielzahl verschiedener Schadprogramme. Ist ein Rechner infiziert, arbeiten sich die verschiedenen Schadprogramme durch das Netzwerk und infiltrieren weitere Systeme. Um die Erfolgsaussichten zu erhöhen, nutzt Emotet das „Outlook Harvesting“: Hierbei wird das Adressbuch des potenziellen Opfers ausgespäht und die gewonnenen Erkenntnisse eingesetzt, um in der späteren Kommunikation Echtheit zu suggerieren.
Die ab 2020 aktive Emotet-Variante geht einen Schritt weiter: Wie das Magazin Golem berichtet, klinkt sich die Malware nicht nur in frühere E-Mail-Konversationen ihrer Opfer ein, sie verwendet auch deren (gutartige) Anhänge, um möglichst authentische Mails zu generieren. Die Schadsoftware lädt sich nach, sobald das Opfer auf den Link in der Mail klickt. Dann werden Bankdaten abgegriffen und mit etwas Verzögerung der gesamte Rechner verschlüsselt sowie Lösegeld erpresst. Ein „Malware-König“, dessen Spitznamen nicht von ungefähr kommt.
Tipps zum Schutz vor Malware
Weit über 30.000 Varianten gab es bis zur vorübergehenden Zerschlagung von Emotet. Zu vermuten ist, dass die Malware heute nicht nur wieder aktiv ist, sondern von den kriminellen Köpfen dahinter in den nächsten Monaten weiterentwickelt wird. In der Vergangenheit beobachteten Sicherheitsforscher stündlich kleinere Anpassungen.
Obwohl die Schadsoftware sehr variantenreich ist, minimieren einige grundlegende Maßnahmen (InterConnect unterstützt Sie gerne bei der Umsetzung) das Risiko einer Emotet-Infektion:
- Sensibilisierung von Mitarbeitern für die Gefahren durch E-Mail-Anhänge oder Links – selbst bei vermeintlich bekannten Absendern. Auch sollten Berechtigungen für Nutzerkonten auf notwendige Rechte beschränkt und (sofern möglich) Makros über Gruppenrichtlinien deaktiviert werden. Die Einschränkung unsignierter Makros gilt derzeit als eine der wirksamsten Schutzmaßnahmen gegen Emotet.
- Patch Management: Zeitnahe Installation von Sicherheitsupdates für Betriebssysteme und Anwendungen. Besonders wichtig sind in diesem Zusammenhang Browser, E-Mail-Client und Office-Anwendungen.
- Aktuelle und zentral administrierte Antivirus-Lösung.
- Regelmäßige, mehrstufige Backups der Unternehmensdaten.
- Regelmäßiges Monitoring von Logdaten, sowohl manuell als auch automatisiert (mit Alarmierung bei schwerwiegenden Anomalien).
- Netzwerk-Segmentierung mit jeweils isolierter Administration.
- Klare Prozesse: Mit wem müssen Mitarbeiter bei Auffälligkeiten Rücksprache halten? Welche Maßnahmen werden ergriffen?
Sie benötigen ein (neues) IT-Sicherheitskonzept? Haben Beratungsbedarf zu geeigneter Hard- und Software? Oder möchten Sie technologiegestützt Ihre Mitarbeiter für IT-Security sensibiliseren?
Kommen Sie auf uns zu - wir beraten Sie gerne.