Was Emotet anrichten kann ist in der IT-Welt mittlerweile mehr als bekannt. Dennoch treibt der Verschlüsselungstrojaner noch immer sein Unwesen im Netz. Im Jahre 2014 wurde Emotet entdeckt und verschlüsselt seither alles was ihm in die Quere kommt. Emotet ist eigentlich ein sogenannter „Dropper“ und lädt dann weitere Schadprogramme wie den Verschlüsselungstrojaner Ryuk nach. Er gelangt in der Regel über Spam E-Mails auf die Rechner, entweder durch Office-Dokumente mit Makros oder über Anhänge mit Download-Links.
Was Emotet anrichten kann…
Was ein Befall bedeuten kann, musste unter anderem auch die niedersächsische Stadt Neustadt am Rübenberge am eigenen Leib erfahren. Am Morgen des 6. Septembers 2019 bemerkte ein IT-Mitarbeiter, dass die Server im Rechenzentrum der Kommune seltsame und extreme Auslastungen anzeigten. Obwohl keine Tests oder Wartungsarbeiten anstanden war die Systemlast enorm hoch. Der Mitarbeiter reagierte sofort und fuhr die Server herunter, da er ein Schadprogramm vermutete. Leider war es bereits zu spät. Der Trojaner hatte bereits begonnen die Daten der Verwaltung von rund 45.000 Einwohner zu verschlüsseln. Darunter waren E-Mails, Formulare, Bauzeichnungen, Hochzeitstermine, Elterngeldanträge und vieles mehr. Auch mehr als 220.000 Steuerakten wurden von Emotet verschlüsselt.
SPAM E-Mails als Übeltäter
Auf welchem Weg die Stadtverwaltung befallen wurde ist nicht eindeutig geklärt sagt Maic Schillack, der erste Stadtrat und Stellvertreter des Bürgermeisters. Vermutlich wurde durch einen Mitarbeiter ein verseuchtes Office-Dokument geöffnet. Das ist zumindest laut Spezialisten der häufigste und gängigste Weg wie sich Emotet im Netzwerk breit machen kann. Was Emotet so mächtig macht, ist die perfide Aufmachung der Mails. Sie stammen aus Sicht des Empfängers offenbar von einer tatsächlich existierenden Kontaktperson und zitieren einen realen Mailwechsel zwischen dem Empfänger und dieser Person. Emotet ist in der Lage, Outlook-Konversationen (Kontaktbeziehungen und Mailinhalte) auszulesen und so automatisiert sehr authentische Spam-Mails zur Erstinfektion zu generieren“, erklärt das BSI. Fachleute sprechen auch von Dynamit-Phishing.
Was steckt hinter Emotet?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist davon überzeugt, dass „die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzten dann weitere Schadsoftware wie Trickbot und Ransomware ein, um „ihre eigenen Ziele zu verfolgen“. Die Motivation sei in der Regel finanzieller Natur. Das BSI geht also von Cyberkriminalität aus, nicht von Spionage.
Zur spannenden Frage, aus welchem Land oder aus welchen Ländern die Emotet-Entwickler und die Angreifer kommen, äußert sich das BSI nicht. Auch aus den Strafverfolgungsbehörden sind dazu bislang keine Erkenntnisse nach außen gedrungen. Es kursieren lediglich Gerüchte, in denen von Osteuropa oder Russland die Rede ist. Malware-Experte Andreas Marx von der Firma AV-Test betont jedoch: „Es gibt viele Vermutungen, aber eine Attribution ist nicht seriös möglich.
Was Emotet anrichten kann – Gibt es Sicherheiten?
Die Macher von Emotet prüfen stehts ihre neuen Versionen gegen Anti-Viren-Software. Auch wenn diese schnell reagieren verändern die Macher ständig den Trojaner. Mal sind es Download-Links die gesendet werden, mal sind die Office Dokumente. Wird die aktuelle Version nicht erkannt, werden Millionen E-Mails versendet mit dem Schadprogramm. Durch das Tool Trickbot werden dann unter anderem Zugangsdaten ausspioniert um sich zusätzlich im Netzwerk weiter ausbreiten zu können.
Eine 100%ige Sicherheit gibt es natürlich nie. Dennoch sollte man stets darauf achten, dass die Anti-Viren-Lösung aktuell gehalten wird und auf allen Systemen installiert ist. Dazu sollte die Updates der Betriebssysteme sowie der Dritt-Anwender Produkte regelmäßig durchgeführt werden. Damit kann der Schutz schon um ein vielfaches erhöht werden. Der Mensch ist allerdings das schwächste Glied in der Kette und daher sind Awareness-Schulungen ein wichtiger Aspekt um den Schutz so groß wie möglich zu gestalten.
Als IT-Security Dienstleister bieten wir Ihnen gerne unsere kompetente Beratung zum Thema Emotet bzw. Verschlüsselungstrojaner an und wie Sie sich und Ihr Unternehmen schützen können. Sprechen Sie uns an! Wir unterstützen Sie gerne.
Weitere Details zu dem Vorfall in Stadt Neustadt am Rübenberge können Sie hier weiterlesen.
Jetzt bei Kaspersky Awareness Schulungen einsteigen. Erfahren Sie mehr…