EMOTET – Agressiver Trojaner in Spam-Emails 

BSI schlägt Alarm und warnt vor „gefährlichster Schadsoftware der Welt“

Der Emotet-Virus – ein Email-Trojaner und zum ersten Mal 2014 aufgetaucht, bedroht bundesweit tausende Unternehmen. Unter anderem ist er so gefährlich, weil er ständig weiter verbessert wird und mit immer raffinierteren Methoden Nutzer dazu bringt, infizierte Anhänge zu öffnen.

Infizierung durch täuschend echte Spam-Mails

Das bösartige Programm wird verwendet, um persönliche Daten zu stehlen und weitere Schadsoftware auf den betroffenen Computern zu installieren. Typischerweise verbreitet er sich über Phishing-Mails, die bösartige URLs enthalten und zu Dokumenten mit korrupten Makros führen. Wenn der Benutzer das Dokument öffnet oder Makros aktiviert, wird die Schadsoftware geladen und auf dem System ausgeführt.

Die Folgen von Emotet

Die Kriminellen hinter Emotet verdienen ihr Geld damit, dass sie infizierte Systeme an andere Cyber-Gangs weiterverkaufen, deren Schad-Software dann nachgeladen wird. Für Deutschland hatte bisher die Trickbot-Bande anscheinend einen Exklusiv-Deal. So kam im Gefolge einer Emotet-Infektion zumeist der Trickbot-Schädling und dann der Verschlüsselungs-Trojaner Ryuk auf die Firmenrechner. Die legt dann auf Kommando ganze Firmen lahm und präsentiert Lösegeldforderungen nicht selten im sechsstelligen Bereich.

Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald ein Computer infiziert ist. Diese Schadprogramme ermöglichen den Angreifern zum Beispiel das Auslesen von Zugangsdaten, etwa beim Online-Banking. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor.

Emotet-Spam-Mails antworten auf echte E-Mails und wirken daher besonders authentisch

Eigentlich ist unsere Gesellschaft durch die flächendeckende Einführung der DSGVO recht aufgeklärt, was Spam-E-Mails betrifft. Das wissen auch die Cyberkriminellen, die hinter Emotet stecken. Deshalb achten die Angreifer sehr genau darauf, E-Mails zu senden, die auf die Zielperson zugeschnitten sind. Der Trojaner sammelt Informationen darüber, wie für gewöhnlich kommuniziert wird. Sich dieser Kommunikation anpassend, können Angreifer sogar die gesicherten Netze von Regierungen oder Rüstungskonzernen eindringen.

Dass KMU und Privatpersonen genauso gefährdet sind wie Großkonzerne, wird schnell deutlich. Durch diesen teils automatisierten Social Engineering-Angriff erhalten die Empfänger Nachrichten von Absendern, mit denen sie wirklich zuletzt in Kontakt standen und so nutzten die Angreifer längst schon bekannte Absenderadressen.

Einige Beispiele:

DHL-Sendungsverfolgung: Fast jeder bestellt mittlerweile online. Die ahnungslosen Nutzer erhalten gefälschte E-Mails, die dem Original zum Verwechseln ähnlich sehen. Meist sind Links und Anhänge enthalten, die dafür sorgen, dass Emotet auf dem Rechner landet.

Telekom-Rechnung: Täuschend echt aussehende Telekom-Rechnungen sind ebenfalls derzeit in Umlauf. Die Angreifer lassen die E-Mails so echt aussehen, dass sogar ein Hinweis in diesen Rechnungen zu finden ist, wie man bei der Telekom mit Spam-Mails umgeht.

Microsoft: Einer originalen Microsoft-Mail zum Verwechseln ähnlich sieht auch diese Spam-E-Mail. Die Angreifer nutzen das Microsoft-Logo und in der Mail geht es um einen “aktualisierten Servicevertrag”. Nutzer, die diesen vermeintlich neuen Servicebedingungen nicht zustimmen, sollen einem Link folgen, um den Microsoft-Account zu schließen. Wer der Aufforderung folgt, lädt den Trojaner Emotet samt Trickbot und/ oder Ryuk erfolgreich auf seinen Rechner.

Kunden/Outlook/Kontakte: Da Emotet auch Kontaktinformationen und -beziehungen sowie Kommunikationsinhalte aus E-Mail-Programmen abgreift, kommen authentisch wirkenden Spam-Mails zustande. Es handelt sich um einen teils automatisierten Social-Engineering-Angriff, der auch deshalb so erfolgreich ist, weil Spam-Mail-Empfänger vorgeblich von den Absendern Nachrichten erhielten, mit denen sie tatsächlich zuletzt in Kontakt standen.

Wie können Sie Ihr Unternehmen schützen?

„Man kann es nur gebetsmühlenartig wiederholen: Viele dieser Schäden sind vermeidbar, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden“, schreibt der Präsidenten des BSI, Arne Schönbohm. „Dazu zählt unter anderem die Sensibilisierung und Schulungen der Belegschaft genauso wie regelmäßige Back-ups oder das Einspielen von Sicherheitsupdates.“

Auch wenn es keine hundertprozentige Sicherheit geben kann, so existieren dennoch verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden können und das Risiko einer Infektion signifikant reduzieren. Hierzu zählen insbesondere Schutzmaßnahmen zur sicheren E-Mail-Nutzung.

Regelmäßige Information, Schulung und Sensibilisierung der Nutzer und Mitarbeiter für die Gefahren durch E-Mail-Anhänge oder Links – einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern, Erkennen von gefälschte Absenderadressen, Dateianhänge oder Links bzw. über diese heruntergeladene Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb, IT-Sicherheitsbeauftragten oder Datenschutzbeauftragten melden.

Als wichtigste Schutzmaßnahme gilt deshalb:
Auch und gerade bei vermeintlich bekannten Absendern Anhänge – insbesondere Office-Dokumente – nicht gleich öffnen und auf Links nicht sofort klicken. Im Zweifel sollte man beim angeblichen Absender anrufen, um den Versand der Mail, ihren Inhalt und die Anhänge zu verifizieren.

‣ Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme

‣ Einsatz zentral administrierter Antiviren-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.

‣ Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.

‣ Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.

Sichere Admin-Passwörter – Emotet macht sich schwache Admin-Passwörter und Systemschwachstellen zunutze, um sich im Computernetzwerk auszubreiten. Die fortschrittliche Cyberbedrohung hat vor allem die Aufgabe Schadsoftware auf die betroffenen Computer einzuschleusen, um Finanz- und Bankdaten zu stehlen.
Auf dem betroffenen Computer versucht Emotet, Admin-Rechte zu bekommen. Wenn dies nicht gelingt, führt er sich über andere Systemprozesse aus. Der Virus nimmt außerdem verschiedene Änderungen am System vor, um beim Systemstart zu booten, Systeminformationen zu sammeln, die Informationen zu verschlüsseln und an einen C&C-Server zu senden.

Emotet-Befall – so handeln Sie richtig

Nach der Anzeige bei der Polizei und der Überprüfung der IT-Sicherheit greifen die Maßnahmen bei einem Datenverstoss:

Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 und der Benachrichtungspflicht des Betroffenen gemäß Art. 34, die wir explizit auch im Vorfeld bei unseren Beratungen schulen.

‣ Informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mailkontakte sind in diesem Fall besonders gefährdet. (Benachrichtigungspflicht der Betroffenen)

‣ Ändern Sie alle auf dem betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherten und eingegebenen Zugangsdaten/Passwörter.

‣ Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor. Sollte Ihr Rechner mit Schadsoftware wie Emotet infiziert sein, ist es wichtig, Emotet sofort zu deinstallieren, denn die Schadsoftware ist in der Lage andere Cyberbedrohungen auf das System zu übertragen.

‣ Beachten Sie, dass Sie Emotet von allen Computern deinstallieren müssen, die mit dem gleichen betroffenen Netzwerk verbunden sind. Wenn Sie eine Systemüberprüfung mehrmals durchführen und immer noch bösartige Komponenten finden, bedeutet dies, dass es noch infizierte Geräte im Netzwerk gibt. Die Entfernung des Trojaner ist somit eine komplexe Aufgabe und erfordert die sofortige Bereinigung aller angeschlossenen Computer.

Sofort-Hilfe im Ernstfall

Mit einer Rundum-sorglos-Beratung zur rechtskonformen Umsetzung der DSGVO bis hin zur Sofort-Hilfe steht Ihnen unser Experten-Team zur Seite:

‣ Analyse und rechtliche Beratung einer akuten Datenpanne
‣ Maßnahmenkatalog und Korrespondenz mit den Aufsichtsbehörden
‣ Schulung zur Vermeidung weiterer Datenschutzverletzungen
‣ Überprüfung der Rechtskonformität Ihrer Umsetzung der DSGVO

Handeln Sie sofort im Falle eines Datenverstoßes und vermeiden Sie Bußgelder und Lösegeldforderungen – wir stehen Ihnen unbürokratisch und schnell in allen Belangen einer Datenschutzverletzung zur Seite.

Das Expertenteam und unsere Fachanwälte steht Ihnen jederzeit gerne für Ihre Fragen und ein kostenloses Erstgespräch zur Verfügung.

Rufen Sie uns an unter +49 861 213 94 95 88 (Beratung bundesweit) oder nutzen Sie unseren kostenlosen Rückruf-Service.

Auch per Email sind wir jederzeit für Sie da info@datenschutz-bestspeakers.de

Jetzt kostenloses Erstgespräch anfordern