„Emotet“ – eine neue Dimension der Bedrohung

Die allgegenwärtige Bedrohung durch Spam/Phishing-Mails bekommt eine neue Dimension. „Emotet“ kombiniert die Methode der Spamverteilung „Spear-Phishing mit Methoden des Social Engineering“ mit gefährlicher Schadsoftware (Advanced Persisten Threads APT).

Nach der Infektion eines Zielsystems ist Emotet in der Lage, das Outlook-Addressbuchs des Opfers auszulesen und sich selbst per Spear-Phishing weiter zu verbreiten. Neuerdings liest es auch die E-Mails des Opfers (Outlook-Harvesting) und nutzt die Inhalte, um authentisch aussehende Spear-Phishing-Mails zu erzeugen (Social Engineering). Dann verschickt es im Namen des Opfers über dessen echte E-Mail-Adresse sich selbst an die gespeicherten Kontakte.

Darüber hinaus ist Emotet in der Lage, weitere Schadsoftware je nach Bedarf und Absicht des Angreifers nachzuladen und sich dadurch dauernd zu verändern. Beobachtet wurden bisher insbesondere, aber nicht nur, die Banking-Trojaner „Trickbot“ sowie „Quakbot“. Diese können sich selbstständig von einem infizierten Rechner als Wurm im befallenen Netzwerk weiter ausbreiten, auch ohne den weiteren Versand von Spam-Mails.

Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor.

Ein einzelner infizierter Rechner kann somit das komplette Netzwerk einer Organisation infizieren und lahm legen. Es sind bereits mehrere solcher Vorfälle öffentlich bekannt geworden, beispielsweise die Universität Gießen. Gefährdet sich besonders Umgebungen, die zentralisierte Windows-Systeme einsetzen.

Infizierte Systeme sind daher sofort durch Ziehen des Netzwerk-Steckers vom Netz zu trennen und sind grundsätzlich als vollkommen kompromittiert zu betrachten. Sie müssen daher komplett neu ausgesetzt werden. Melden Sie sich keinesfalls als Administrator an einem infizierten Rechner an, da sich der Wurm ansonsten mit ihren Administrator-Rechten weiter verbreiten kann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bittet um Meldungen aller Vorfälle und empfiehlt eine Strafanzeige bei der Polizei. Tun Sie dies bitte nicht selber, sondern informieren Sie uns über mailto:gitz-it-sicherheit@tu-braunschweig.de oder über den IT-Service-Desk.

Weiter führende Informationen:

• Pressemitteilung des BSI vom 5.12.2018
• Informationen für Endanwender: “BSI für Bürger” zu Emotet
• Informationen für Administratoren/DV-Koordinatoren: Maßnahmen zum Schutz vor Emotet und anderen gefährlichen Mails (Allianz für Cyber-Sicherheit) und auch hier: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/Emotet/emotet_node.html
• Hintergundartikel in der c’t: https://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html
• weitere Informationen vom DFN-CERT mit Hinweisen und Tipps: https://www.dfn-cert.de/aktuell/emotet-beschreibung.html

Mit Hilfe eines kleinen Programms des Japan-CERT namens “EmoCheck” kann man in manchen Fällen feststellen, ob ein Rechner infiziert ist oder nicht. Genaueres ist bei Heise zu finden:

https://www.heise.de/security/meldung/EmoCheck-Neues-Tool-kann-Emotet-Infektionen-aufspueren-4652554.html

Eine gefundene Infektion ist auf jeden Fall ernst zu nehmen, aber das Toll kann nicht alle Varianten entdecken – ein negatives Ergebnis ist also keine Entwarnung.

Quelle: Behandlung bereits infizierter Rechner (Allianz für Cybersicherheit)

Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel

Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.

Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von AV-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.

Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.

Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.

Melden Sie den Vorfall – ggf. anonym – beim BSI. Diese Informationen sind Voraussetzung für ein klares IT-Lagebild und für eine frühzeitige Warnung potenziell später Betroffener durch das BSI von zentraler Bedeutung. Tun Sie dies nicht selbst, sondern informieren Sie uns über den IT-Service-Desk oder unter mailto:gitz-it-sicherheit@tu-braunschweig.de!

Stellen Sie Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland. Tun Sie dies nicht selbst, sondern informieren Sie uns über den IT-Service-Desk oder unter mailto:gitz-it-sicherheit@tu-braunschweig.de!

Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des „Stillstands“ sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern, wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) – Andererseits zur Sensibilisierung für den Neuanlauf inkl. der notwendigen Informationen.

• Proaktive Information von Geschäftspartnern/Kunden über den Vorfall mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation. Sharing is caring!