Emotet ist eine berüchtigte Bankentrojaner-Familie, die für modulare Architektur, Persistenz-Mechanismen und deren Selbstverbreitung bekannt ist. Die Verbreitung erfolgt über Spam-Kampagnen mit schädlichen Anhang. Der Trojaner dient als Downloader oder Dropper häufig dazu, weitere potentiell Schädliche Software auf ein System zu bringen. Bereits im Juli 2018 war Emotet Ende Juli 2018 Gegenstand eines US-CERT-Sicherheitshinweises.

Es werden von zahlreichen Experten, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik), Security-Lösungshersteller eine akute Flut von Trojaner-Angriffen und Schäden in Millionenhöhe gemeldet. Der größte Teil der bisherigen Infektionen richtet sich vor allem auf Unternehmen und Behörden.

Wie funktioniert der Angriff?

Der Trojaner Emotet schmuggelt sich durch sehr gut gemacht Phishing-Emails in die Postfächer. Dadurch, dass er sich so gut wie gar nicht von echten Emails unterscheidet, werden aktuell zahlreiche Firmen-Netzwerke in der DACH-Region infiziert. Die Mails selbst stammen dem Anschein nach von Geschäftspartnern, Kollegen oder Bekannten. Es weckt den Anschein, dass Emotet schon Monate seine Opfer ausspioniert, wer mit wem innerhalb der Firmen kommuniziert. Mit den gesammelten Informationen ist es nicht weiter schwierig, die Phishing-Mails perfekt an das normale Kommunikationsverhalten innerhalb einer Organisation anzupassen.

Das große Problem dabei ist es, dass viele der bisher bekannten Methoden von Angriffen adaptiert und automatisiert wurden. Die Angriffe sind eine Abwandlung von Spear-Phishing.

Beim Spear-Phishing senden die Angreifer auf das Opfer zugeschnittene Emails an eine bestimmte Zielperson, die dazu verleitet werden soll, dass der Anhang geöffnet oder der Link angeklickt wird. Mit dieser Methode sind die Cyber-Kriminellen erfolgreich, dass sie auch in vermeintlich gut gesicherte Netzwerke gelangen. Bei Emotet wird die Trojaner-Welle automatisiert erstellt und massenweise versendet. Deswegen nennt man diese Angriffe auch „Dynamit-Phishing„.

Wie sehen Mails solcher Angriffe aus?

Der Ablauf gestaltet sich wie folgt.  Das Opfer erhalt am Beginn eine Emotet-Spam-Email, der eine schädliche Word- oder PDF-Datei angehängt ist. Der Empfänger öffnet diese, weil sie scheinbar von einem legitimen oder vertrauten Unternehmen stammt.

Gemäß den Anweisungen in den Dokumenten aktiviert das Opfer Makros in Word oder klickt auf den Link im PDF. Anschließend wird der Emotet-Payload auf dem Computer installiert und gestartet. Der Banktrojaner stellt sicher, dass der Zustand auch über eine längere Zeit so bleibt, und meldet den erfolgreichen Befall einem Control-Server eines Botnetzes. Als Antwort erhält der Trojaner Anweisungen, welche Angriffsmodule und sekundären Payloads heruntergeladen werden sollen. Die zusätzlichen Module erweitern den ursprünglichen Payload um eine oder weitere Funktionen, wie z.B.

• Stehlen von Anmeldeinformationen
• Netzwerkausbreitung
• Sammeln von sensiblen Infromationen,
• Portweiterleitung und
• andere Funktionen

Als sekundären Payload ließ Emotet weitere Trojaner oder Malware, wie TrickBot und IcedID auf den Rechnern zurück.

Weitere Informationen über Emotet.

Wie können sich Unternehmen schützen?

Die Infektion durch Emotet geschieht in der Ausführung von Makros, was für erhaltene Word-Dokumente in der Regel nicht notwendig ist. Sofern es möglich ist, sollte der Administrator das Ausführen von Makros über die Gruppenrichtlinie verbieten. Die Emotet-Makros funktionieren auch nicht in den Open-Source-Lösungen OpenOffice und LibreOffice. Man kann davon ausgehen, dass es sich sehr wahrscheinlich um einen Trojaner handelt, wenn eine gesendete Datei das Aktivieren von Makros anfordert. Man sollte auch vorsichtig sein, wenn man dazu aufgefordert wird in einem Word-Dokument oder einer PDF-Datei einen Link anzuklicken.

Wie bei allen Bedrohungen sind Maßnahmen zur Erhöhung des firmeninternen Sicherheitsniveaus empfehlenswert! Die Grundvoraussetzung ist dabei wie immer, das Einspielen aktueller Sicherheits-Updates (Patches) aber auch alle anderen Regeln der Cyber-Hygiene sind wichtig.

Gerne stehen wir auch für Fragen zur Cyber-Hygiene und aktuellen Bedrohungen zur Verfügung. Wir unterstützen dich  auch bei der Einführung und Umsetzung einer IT Sicherheitsstrategie für dein Unternehmen!