Emotet
Emotet ist eine Familie von Computer-Schadprogrammen für Windows-Systeme in Form von Makroviren, welche per E-Mail versendet werden. Die Infektion mit Trojanern erfolgt mittels sehr echt aussehender E-Mails. Öffnet ein Empfänger die Anlage bzw. den Anhang der E-Mail, werden Module mit Schadfunktionen nachgeladen und zur Ausführung gebracht.[1]
Emotet | |
---|---|
Name | Emotet |
Bekannt seit | 2014 |
Virustyp | Makrovirus |
Wirtsdateien | MS Office-Dokumente |
Stealth | ja |
Speicherresident | ja |
System | Windows |
Programmiersprache | C++ Makro |
Info | Installiert weitere Malware auf infizierten Systemen |
Opfer der Schadsoftware sind vor allem Behörden und Unternehmen. Ziel der Angriffe ist es, die gesamte IT des Opfers lahm zu legen oder Lösegeldzahlungen zu erpressen. Im Januar 2021 gelang es Europol, die Ransomware für einige Monate unschädlich zu machen.[2][3]
Geschichte
Emotet wurde erstmals im Juni 2014 durch Trend Micro identifiziert. Betroffen waren Kunden deutscher und österreichischer Banken, deren Zugangsdaten über einen Man-in-the-Browser-Angriff abgefangen wurden. Seitdem wurden mehrere Evolutionsstufen des Trojaners entdeckt, die sich nach und nach wellenartig weltweit verbreiteten.[4] Seit Ende 2018 war Emotet auch in der Lage, Inhalte aus E-Mails auszulesen und zu verwenden, was die Gefährlichkeit noch einmal erhöhte und dazu führte, dass das BSI explizit eine Warnung vor diesem Schadprogramm veröffentlichte. Die betroffenen Empfänger erhielten nun E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie zuvor in Kontakt standen. Dazu waren Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur zu früheren E-Mails stimmig und verleiteten auch sensibilisierte Nutzer hierdurch zum Öffnen des schädlichen Dateianhangs oder des in der Nachricht enthaltenen Links.[5] In Einzelfällen sei es bei den Betroffenen dadurch zu Ausfällen der kompletten IT-Infrastruktur und zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich zogen.[6] Es kam zu großen Produktionsausfällen, und es mussten ganze Unternehmensnetzwerke nach einer Infektion mit Emotet neu aufgebaut werden.[7] CERT-Bund und Polizei-Behörden berichteten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden. Betroffen waren unter anderem auch die Heise Gruppe[8][9] und das Berliner Kammergericht.[10] Dem Kammergericht wurde in einem Gutachten zu einem „kompletten Neuaufbau der IT-Infrastruktur“ geraten.[11]
Im August 2020 wurde der BwFuhrparkService, der teilweise auch den Fahrdienst des Deutschen Bundestages stellt, Ziel eines mit Emotet ausgeführten Hackerangriffs.[12]
Am 26. Januar 2021 stürmten maskierte Spezialkräfte der Polizei ein heruntergekommenes Wohnhaus in der Ukraine. Sie fanden dort zahlreiche Computer, über 50 Goldbarren, bündelweise Bargeld und zwei mutmaßliche Hacker.[13]
Im Januar 2021 gelang es Europol unter Leitung von niederländischen Ermittlern der Politie und deutschen Ermittlern des Bundeskriminalamtes, die Infrastruktur der Schadsoftware zu übernehmen und sie anschließend zu zerschlagen.[14]
Eigenschaften und Funktion
Emotet basiert auf Methoden, die von APT-Angriffen bekannt sind, welche für den automatisierten und massenhaften Einsatz adaptiert und automatisiert wurden.[6] Die Verbreitung erfolgt vor allem durch sogenanntes „Outlook-Harvesting“, das heißt durch Erzeugen authentisch wirkender Spam-Mails anhand ausgelesener E-Mail-Inhalte und Kontaktdaten bereits betroffener Nutzer. Die so erzeugten E-Mails wirken besonders authentisch und persönlich und heben sich so von gewöhnlichen Spam-Mails ab. Meist wird Emotet durch infizierte E-Mail-Anhänge im Word-Format auf die Rechner der Opfer gebracht.[15] Durch verschiedene Botschaften wird versucht, den Nutzer zum Aktivieren der aktiven Inhalte zu bewegen, damit die Infektion erfolgen kann.[15] Emotet ist zudem in der Lage, weitere Schadsoftware nachzuladen, über die dann etwa das Auslesen von Zugangsdaten oder ein Fernzugriff ermöglicht wird. Auch kann die nachgeladene Software verschiedene andere Lücken wie die SMB-Schwachstelle EternalBlue nutzen, um sich weiter zu verbreiten.[5][9][16][7]
Gegenmaßnahmen
Vor der Infektion
Grundvoraussetzung für alle Schutzmaßnahmen ist das Einspielen aktueller Sicherheits-Updates[8] und das Vorhandensein aktueller Backups, die physisch vom Netzwerk getrennt sind.[16] Als direkte Gegenmaßnahme kann die Ausführung von Makros per Gruppenrichtlinie im Active Directory komplett deaktiviert werden. Sollte das nicht möglich sein, so kann zumindest nur die Ausführung signierter Makros per Gruppenrichtlinie zugelassen werden.[15] Word-Anhänge können zur Prüfung auch z. B. in LibreOffice geöffnet werden, denn dort funktionieren die Makros nicht.[8] Da Passwörter aus Firefox und Outlook bzw. Thunderbird ausgelesen werden, wird die Verwendung eines Passwortmanagers empfohlen. Arbeiten mit reduzierten Benutzerrechten (keine Adminrechte) vor allem beim Surfen im Internet und beim Öffnen von E-Mail Anhängen ist sinnvoll, um zu verhindern, dass eine Infektion der Systemdateien erfolgt. Für administrative Konten werden starke Passwörter empfohlen, da Emotet diese mit Brute-Force-Methoden zu ermitteln versucht.[15]
Emotet verwendet eine Reihe von Command-and-Control-Servern, zu denen sich infizierte Clients verbinden wollen. Das Sicherheitsteam Cryptolaemus[17] bietet tägliche Sicherheitsberichte mit einer Liste bekannter IP-Adressen und/oder DNS-Namen von ebendiesen Servern. Durch eine Firewall mit Monitoring können etwaige Verbindungsversuche ermittelt werden.
Nach der Infektion
Emotet verwendet verschiedene Techniken, um sich vor Antivirensoftware zu verstecken, und ist deshalb schwer von einem infizierten System zu entfernen. Die wichtigste Maßnahme nach einer erkannten Infektion ist, dass das befallene System möglichst schnell isoliert wird, d. h. vom restlichen Unternehmensnetzwerk und vom Internet getrennt wird, da Emotet versucht, andere Rechner im Netzwerk zu infizieren.[18] Auch ist von einer Verwendung eines Kontos mit administrativen Rechten auf einem infizierten System abzusehen, um weiteren Schaden zu begrenzen. Da sich der angerichtete Schaden auch auf Systemdateien erstreckt, sollte das System neu installiert werden, um eine restlose Beseitigung zu garantieren.[1][5] Backups können dann zur Wiederherstellung verwendet werden, wenn sie nachweislich nicht infiziert sind, d. h. während des Befalls durch Emotet keine physische Verbindung zum Netzwerk hatten oder ständig schreibgeschützt waren.[16]
Weblinks
- Emotet trifft Heise – Einblicke in einen Trojaner-Angriff auf YouTube
- Alert (TA18-201A) – Emotet Malware (Meldung des US-CERT, englisch)
- Malware analysis: decoding Emotet, part 1 (Blogartikel der Malwarebytes Labs, englisch)
- Malware analysis: decoding Emotet, part 2 (Blogartikel der Malwarebytes Labs, englisch)
- Analysis of a Fresh Variant of the Emotet Malware (Analyse von Fortinet, englisch)
- Detailed Analysis of Mal/Emotet-C (Analyse von Sophos, englisch)
Einzelnachweise
- Alert (TA18-201A) – Emotet Malware. US-CERT, 20. Juli 2018, abgerufen am 6. Juni 2019.
- World’s most dangerous malware EMOTET disrupted through global action. Abgerufen am 27. Januar 2021 (englisch).
- Emotet wieder im Umlauf Die gefährlichste Schadsoftware der Welt ist zurück, vom 16. November 2021, geladen am 16. November 2021
- Paweł Srokosz: Analysis of Emotet v4. CERT Polska, 24. Mai 2017, abgerufen am 7. Juni 2019.
- Aktuelle Information zur Schadsoftware Emotet. In: BSI für Bürger. BSI, abgerufen am 8. Juni 2019.
- Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen (Pressemitteilung). BSI, 5. Dezember 2018, abgerufen am 8. Juni 2019.
- Warnung vor Schadsoftware: "Emotet" gefährdet ganze Netzwerke. Tagesschau (ARD), 5. Dezember 2018, abgerufen am 7. Juni 2019.
- Jürgen Schmidt: Achtung Dynamit-Phishing: Gefährliche Trojaner-Welle Emotet legt ganze Firmen lahm. In: heise Online. Heise online, 5. Dezember 2018, abgerufen am 8. Juni 2019.
- Jürgen Schmidt: Emotet bei Heise. In: heise online. 6. Juni 2019, abgerufen am 6. Juni 2019.
- Markus Böhm: Trojaner-Angriff auf Berliner Kammergericht. In: Spiegel Online. 4. Oktober 2019, abgerufen am 10. Oktober 2019.
- Trojaner-Attacke auf Berliner Kammergericht folgenreicher als vermutet. In: Spiegel Online. 27. Januar 2020, abgerufen am 27. Januar 2020.
- DER SPIEGEL: Chauffeurdienst des Bundestags wurde mit Erpressersoftware angegriffen – DER SPIEGEL – Netzwelt. Abgerufen am 20. August 2020.
- FAZ.net: Die Hacker-Jäger
- Bundeskriminalamt: Weltweit gefährlichste Schadsoftware unschädlich gemacht. In: tagesschau.de. 27. Januar 2021, abgerufen am 27. Januar 2021.
- Hauke Gierow: Emotet: G DATA erklärt die Allzweckwaffe des Cybercrime. In: G DATA Blog. G Data Antivirus, 23. Januar 2019, abgerufen am 8. Juni 2019.
- Informationspool – Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen. In: allianz-fuer-cybersicherheit.de. BSI, abgerufen am 11. Juni 2019.
- Cryptolaemus Pastedump. Abgerufen am 7. Januar 2020.
- Trojan.Emotet. In: Blog. Malwarebytes Labs, abgerufen am 9. Juni 2019 (englisch).