Emotet – Hintergründe und 17 Tipps zum Schutz inkl. Handlungsanweisung für Betroffene

Im Jahr 2014 wurde die Schadsoftware Emotet erstmals von Sicherheitsexperten entdeckt. Ursprünglich wurde der Banking-Trojaner kreiert, um Zugangsdaten für Bankkonten abzuräumen. Seither wurde er mehrmals weiterentwickelt, sodass wir uns heute mit einem Virus konfrontiert sehen, der in der Lage ist, weitere Schadsoftwares auf infizierten Systemen zu installieren und sowohl Privatpersonen als auch Unternehmen und Regierungseinheiten bedroht.

Autor: Thomas W. Frick, 02.10.2019, Thema: Emotet

Emotet – Wie geht die Schadsoftware vor?

Bei Emotet handelt es sich um einen sogenannten polymorphen Virus. Der Code verändert sich mit jedem Abruf leicht, wodurch signaturbasierte Virenscanner ihn nicht als schädlich erkennen. Emotet verschickt Spam-Mails, die äußerst authentisch wirken und aktivierte Makros, bösartige Skripts oder Links enthalten. Um keinen Verdacht beim Empfänger zu wecken und möglichst viele Menschen zum Öffnen der Dokumente zu bringen, liest sich die Schadsoftware in Kontakte und versandte Mails der Opfer ein. Dadurch lassen sich die schädlichen Spam-Mails oftmals nur sehr schwer als solche einstufen. Einmal „hereingebeten“, richtet Emotet erheblichen Schaden an, legt ganze Unternehmensnetzwerke lahm und aktualisiert sich dabei völlig unbemerkt über C&C-Server. So gelangen weitere Schadsoftwares auf infizierte Rechner und es ist auch nicht auszuschließen, dass gestohlene Daten dort abgespeichert werden. Emotet funktioniert selbstreplizierend und schafft es – beispielsweise durch das Ausnutzen von Sicherheitslücken in Betriebssystemen und der Nutzung der Brute-Force-Methode – sich ohne manuelles, menschliches Zutun von einem System ins nächste zu schleusen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) gab im September 2019 eine explizite Warnung vor dem Trojaner heraus und reagierte damit auf die drastische Zunahme an Cyberangriffen, die Emotet zuzuordnen sind.

Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.

Schutz vor Emotet – Was können Unternehmen tun?

Nun stellt sich natürlich die Frage, wie genau man sich vor dem hochaggressiven Virus Emotet schützen kann. Die folgenden Punkte sind im Sinne des Schutzes zu beherzigen:

1. Aufklärung

Sämtliche Mitarbeiter mit Zugang zu Systemkomponenten müssen über Emotet und die Vorgehensweise des Trojaners aufgeklärt werden. Es empfiehlt sich, alle Nutzer zu schulen und im Speziellen auf die Merkmale von schädlichen Spam-Mails aufmerksam zu machen.

2. Berechtigungen

Die systeminternen Zugangsberechtigungen eines jeden Nutzers sollten sich auf die Bereiche beschränken, die der Einzelne zur Ausführung seiner Arbeiten zwingend benötigt.

3. Sicherheitsupdates

Sicherheitsupdates für Betriebssysteme und Anwendungen, die vom Hersteller bereitgestellt werden, sind möglichst zeitnah und lückenlos zu installieren. Hier bietet sich die Automatisierung per zentraler Softwareverteilung an.

4. Antiviren-Softwares

AV-Softwares sollten flächendeckend eingesetzt werden, wobei auch an dieser Stelle auf die Ausführung regelmäßiger Updates geachtet werden muss.

5. Monitoring

Durch das konsequente Monitoring von Logdaten können gravierende Anomalien erkannt, gemeldet und in der Folge zeitnah genauer betrachtet werden.

6. Backups

Es empfiehlt sich, großen Wert auf Offline-Backups zu legen, um wichtige Daten systemunabhängig zu speichern.

7. Segmentierung

Eine Netzwerk-Segmentierung kann beispielsweise nach Anwendungsgebieten, Vertrauenszonen, Regionen oder Arbeitsbereichen erfolgen und trägt durch die isolierte Administration der einzelnen Segmente erheblich zum Schutz vor Cyberangriffen bei.

8. Plain-Text

Da E-Mail-Programme häufig Schwachstellen haben, bietet es sich an, Inhalte hier generell als Plain-Text statt im HTML-Format anzeigen zu lassen. Auf diese Weise lassen sich auch verschleierte URLs leichter erkennen.

9. Ausführbare Dateien

Besondere Vorsicht ist immer dann geboten, wenn eine Mail ausführbare Dateien enthält. Ist es aufgrund der individuellen Arbeitsabläufe nicht möglich, solche Mails grundsätzlich zu blockieren oder in Quarantäne zu leiten, muss eine klare Kennzeichnung der intern versendeten Mails mit ausführbaren Dateien vorgenommen werden.

10. Zwei-Faktor-Authentifizierung

Was eigentlich fast schon Standard ist, wollen wir dennoch nochmals erwähnen: Die Zwei-Faktor-Authentifizierung ist ein eindeutiges „MUSS“, um sich gegen das Ausspähen von Kennworten und die damit verbundene automatisierte Ausbreitung eines Trojaners zu schützen.

11. Überflüssige Anwendungen

Sämtliche Softwares zum Ausführen von Dateien, die nicht benötigt werden, sollten deinstalliert werden. Stehen weniger Anwendungen dieser Art zur Verfügung, schrumpft auch die Zahl möglicher Schwachstellen und die Angriffsfläche verkleinert sich.

Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.

Handlungsempfehlungen im Falle einer Emotet-Infektion

Liegt eine Infektion vor, muss umgehend gehandelt werden. Dieses Vorgehen wird dabei vom BSI empfohlen:

12. Isolation

Infizierte Systeme sind sofort vom Netzwerk zu isolieren – auch dann, wenn eine Infektion noch nicht bestätigt ist, aber vermutet wird. Das betroffene Gerät sollte nicht ausgeschaltet werden. Stattdessen ist es ratsam, ein Speicherabbild für die spätere Untersuchung des Falls anzufertigen.

 

13. Neuaufsetzung

Die tiefgreifenden Veränderungen, die Emotet an einem infizierten System vornimmt, sind in jedem Falle ernst zu nehmen. Ganz nach dem Motto „Vorsicht ist besser als Nachsicht“ sollte das gesamte System als betroffen eingestuft und ohne Ausnahmen neu aufgesetzt werden.

14, Passwortänderung

Sämtliche Passwörter, die im betroffenen System verwendet wurden, müssen geändert werden.

15. Kommunikation über externe Adressen

Um zu verhindern, dass Angreifer ihre Entdeckung direkt bemerken, sollte die diesbezügliche Kommunikation über externe Adressen stattfinden. In diesem Zusammenhang sollten die Mails zum Beispiel per PGP verschlüsselt werden.

16. Meldung und Anzeige

Die Infektion sollte dem BSI gemeldet werden. Dies ist auch anonym möglich. Daneben gilt es, eine Strafanzeige zu stellen. Ansprechpartner ist hier die Zentrale Ansprechstelle Cybercrime, kurz ZAC, des jeweiligen Landes.

17. Information

In vielen Fällen ist es nötig, Kunden einzuweihen. Schließlich liegt es im Bereich des Möglichen, dass Emotet Angriffe auf diese Kunden startet und dafür Absenderadressen des infizierten Systems verwendet. Zusätzlich sind die Mitarbeiter über den Vorfall zu informieren. Letzteres gilt vor allem dann, wenn diese auch private Angelegenheiten am Arbeitsplatz abwickeln.