"Emotet" Malware - BSI warnt vor neuer Phishing-Welle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 05.12.2018 in einer Pressemitteilung eine Warnung vor der Malware Emotet ausgesprochen.

Erstmalig beobachtet wurde die Malware im Jahre 2014 in Deutschland und Österreich.

Während die Malware ursprünglich als Trojaner eingesetzt wurde um Zugangsdaten für Online-Banking auszuspionieren, so wurde die Malware in den letzten Jahren stark verändert und verbessert.

Der Präsident des BSI, Arne Schönbohm, ließ dazu verlauten: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt. Wir fordern deswegen Unternehmen und Organisationen auf, ihre IT-Infrastruktur und insbesondere ihre kritischen Geschäftsprozesse vor dieser Art der Bedrohung zu schützen und ihre IT-Sicherheitsmaßnahmen angemessen auszubauen. Durch geeignete Prävention kann man das Risiko einer Infektion mit Emotet erheblich mindern.“

Seit September 2018 ist eine neue Variante unterwegs die äußerst raffiniert vorgeht. Es fängt mit einem ganz klassischen Phising Angriff an. Dennoch ist hier eine sehr hohe Qualität zu beobachten. Sobald ein Gerät infiziert wurde, so nutzt Emotet mehrere Methoden um sich zu verbreiten. Zum Beispiel liest Emotet gespeicherte E-Mails und Adressen von Outlook aus. Dies wird treffenderweise Outlook-Harvesting genannt .Dabei achtet Emotet auch darauf, Kontakte herauszusuchen, mit denen kürzlich kommuniziert wurde. Zwischen der ursprünglichen Infektion und dem Versenden der E-Mails können Wochen vergehen in der Emotet die Kommunikation beobachtet und analysiert. Auf dieser Basis werden dann automatisiert gezielte Phising E-Mails generiert und versendet. Diese spezielle Methode wird Spear-Phising genannt. Anstatt wie beim traditionellen Phising ein sinnbildliches Netz auszuwerfen, werden Personen gezielt angegriffen. Dabei haben diese speziellen Phising-Mails eine sehr hohe Qualtität und können kaum noch von echten E-Mails unterschieden werden.

In der E-Mail wird man dann aufgefordert, eine Word-Datei, welche sich im Anhang befindet, zu öffnen. Dabei soll man auch die in dem Dokument enthaltenen Makros ausführen. Wer dieser Aufforderung folgt, infiziert auf diesen Weg den Computer.

Allerdings ist das nicht die einzige Methode, welche Emotet zur Verfügung steht. Ist ein Computer in einem Netzwerk infiziert, nutzt Emotet diesen als Brückenkopf. Ist dieser eingerichtet, lädt Emotet Malwarekomponenten nach und nutzt auch bekannte Sicherheitslücken wie EternalBlue, Romance oder Mimikatz um sich selbstständig im Netzwerk zu verbreiten. Auch wenn Microsoft bereits im Mai 2017, während WannaCry wütete, einen Patch bereitstellte, haben diesen scheinbar noch nicht alle Unternehmen eingespielt. Dadurch kann es auch zu Ausfällen ganzer Netzwerke kommen, wie beispielsweise in der Kreisklinik Fürstenfeldbrück in Bayern, welches Anfang November infiziert wurde. Durch die Infektion fiel die gesamte IT-Infrastruktur aus und im Krankenhaus war dadurch ein normales Arbeiten nicht mehr möglich. Patienten mussten in umliegende Krankenhäuser verlegt werden und eine Aufnahme neuer Patienten war nur noch bei Notfällen möglich. Zudem wurden sämtliche Bankkonten der Klinik gesperrt. um einen möglichen Missbrauch vorzubeugen.

Da sich die Schadsoftware ständig verändert fällt eine Erkennung durch klassische Sicherheitslösungen schwer. Vorbeugen lässt sich eine Infektion unter anderem durch eine Sensibilisierung der Mitarbeiter. Aber auch ein aktives Vorbeugen ist möglich. Zum Beispiel indem automatisiert und proaktiv aktive Elemente aus Dateien entfernt werden. Dies ist zum Beispiel mit Fortinet Content Disarm and Reconstruct möglich. Damit würde das Dokument mit der Malware vor der Zustellung von aktiven Elementen wie Makros bereinigt werden. Dadurch wäre das Dokument entschärft und harmlos. Selbst wenn also ein Mitarbeiter diese E-Mail empfangen und den Anhang öffnen würde, wäre eine Infektion nicht mehr möglich.

Eine andere Möglichkeit ist das sogenannte Sandboxing. Hierbei wird das Dokument in einer isolierten Umgebung hochgeladen, ausgeführt, beobachtet und analysiert. Wenn nach einem gewissen Zeitraum, zum Beispiel 15 Minuten, noch kein verdächtiges Verhalten beobachtet wurde, wird die Datei freigegeben. Entsprechende Lösungen bieten sowohl Fortinet, als auch Sophos an.

Tags: Nachrichten

Die mit einem * markierten Felder sind Pflichtfelder.