7. Dezember 2018 | | 0 Kommentare

Warnung vor Emotet/Trickbot Angriffen per E-Mail Das Bundesamt für Sicherheit in der Informationtechnik (BSI) warnt vor Emotet/Trickbot

Ablauf des Angriffs

Symbolbild: Vorsicht vor gefährlicher Spam-Welle: Trojaner Emotet ist zurück
Image by Marco Verch.
License

Nutzer erhalten E-Mails, welche ihnen vermeintlich von einem Kollegen oder Geschäftspartner zugesendet wurden. Dazu verwenden die Angreifer Kommunikationsbeziehungen, die zuvor auf infizierten Systemen ausgespäht wurden. Durch die Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff,  Anrede und Signatur der E-Mails wirken diese auf viele Nutzer authentisch und verleiten sie zum unbedachten  Öffnen des schädlichen Dateianhangs oder der in der Nachricht enthaltenen URL.

Verbreitung und Auswirkungen

Das BSI berichtet zunehmend von Hilferufen von Behörden und (KRITIS-)Unternehmenein, die massive Störungen im IT-Betrieb bis hin zum kompletten Verlust der Arbeitsfähigkeit einzelner Organisationseinheiten inkl. kritischer Produktionsprozesse zu beklagen hatten. Diese Störungen wurden durch das Öffnen eines schädlichen Office-Dokuments aus einer solchen Spam-Mail verursacht, was zu einer Infektion mit der  Schadsoftware Emotet führte. Nachfolgend wurde von Emotet in vielen Fällenweitere Schadsoftware wie z. B. Trickbot auf den infizierten Systemen nachgeladen. Durch unzureichende Sicherheitsmaßnahmen, fehlende Sicherheitsupdates oder die Anmeldung mit einem Administrator-Konto an einem infizierten System konnten sich Emotet bzw. davon nachgeladene weitere Schadsoftware automatisiert wurmartig und rasant im internen Netzwerk ausbreiten und zahlreiche Clients und Server befallen. Dies führte in einigen Fällen zur kompletten Kompromittierung von Windows-Domänen. Eine flache Netzwerkhierarchie mit fehlender  Segmentierung begünstigte die Ausbreitung der Schadsoftware und führte zu gleichzeitigen (Produktions-)Ausfällen an mehreren Standorten. In Einzelfällen führte ein Nachladen von Ransomware [1] zur irreversiblen Verschlüsselung und damit Vernichtung von Daten.

Bewertung des BSI

Die Entwickler von in die Breite verteilter Schadsoftware (Crimeware) wie Emotet oder Trickbot adaptieren zunehmend Methoden zur automatisierten Weiterverbreitung in lokalen Netzwerken (lateral movement), die früher nur im Rahmen gezielter Angriffe zum Einsatz kamen [2][3][4]. Die Umsetzung entsprechender zusätzlicher Schutz-und Härtungsmaßnahmen ist daher in allen Netzwerken zwingend erforderlich. Darüber hinaus verfügen die Schadprogramme unter anderem über verschiedene Funktionen zum Ausspähen von Zugangsdaten und ermöglichen den Tätern einen vollständigen Remote-Zugriff auf infizierte Systeme.

Seit Ende Oktober 2018 späht Emotet auf infizierten Systemen aus Postfächern der Nutzer nicht mehr nur die Kommunikationsbeziehungen aus und exfiltriert diese an die Täter, sondern auch die ersten 16 Kilobyte einer jeden E-Mail [5][6]. Dies kann zu einem Abfluss vertraulicher Informationen führen. Darüber hinaus ist mit einer weiteren Professionalisierung des Social Engineerings unter Wiederverwendung ausgespähter existierender Kommunikationsinhalte in zukünftigen (gezielteren) Spam-Kampagnen zu rechnen.

Die schädlichen Office-Dokumente sowie die darüber nachgeladenen Schadprogramme werden aufgrund der ständigen Modifikation durch die Täter in den ersten Stunden nach Verbreitung und teilweise auch darüber hinaus häufig nicht von Antivirus-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen an den infizierten System vor, die nicht einfach rückgängig gemacht werden können. Einmal infizierte Systeme sind grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden. Beim Versuch, infizierte Systeme stattdessen zu bereinigen, besteht die Gefahr, dass Teile der Schadsoftware unentdeckt bleiben und den Tätern weiterhin (unbemerkt) Zugriff auf Systeme im Netzwerk ermöglichen.

Weiterführende Links

[1] Ransomware: Bedrohungslage, Prävention & Reaktion https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html
[2] Malware Team Up: Malspam Pushing Emotet + Trickbot https://researchcenter.paloaltonetworks.com/2018/07/unit42-malware-team-malspam-pushing-emotet-trickbot/
[3] New Version of “Trickbot” Adds Worm Propagation Module https://www.flashpoint-intel.com/blog/new-version-trickbot-adds-worm-propagation-module/
[4] Emotet Malware https://www.us-cert.gov/ncas/alerts/TA18-201A
[5] Emotet beutet Outlook aus https://www.gdata.de/blog/2017/10/30110-emotet-beutet-outlook-aus
[6] Emotet Awakens With New Campaign of Mass Email Exfiltration https://blog.kryptoslogic.com/malware/2018/10/31/emotet-email-theft.html
[7] Schützen des privilegierten Zugriffs – Referenzmaterial https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material
[8] Planen von Sicherheitseinstellungen für VBA-Makros in Office 2016 https://docs.microsoft.com/de-de/deployoffice/security/plan-security-settings-for-vba-macros-in-office
[9] Steuern der Blockierung von OLE/COM-Komponenten in Microsoft Office https://support.microsoft.com/de-de/help/4032364/how-to-control-the-blocking-of-ole-com-components-in-microsoft-office
[10] AppLocker https://docs.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview
[11] Local Administrator Password Solution https://technet.microsoft.com/en-us/mt227395.aspx
[12] How to remove administrative shares in Windows Server 2008 https://support.microsoft.com/en-us/help/954422/how-to-remove-administrative-shares-in-windows-server-2008
[13] Zentrale Ansprechstellen Cybercrime (ZAC) https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/ZAC/polizeikontakt.html

Kommentar verfassen