Alte Bedrohung in neuer Form: Emotet schlägt wieder zu
Emotet ist kein neues Übel: Bereits im Juni 2014 hatte das Software-Unternehmen Trend Micro erstmals auf die Malware, die seine Opfer über Phishing-E-Mails findet, hingewiesen. Im Unterschied zu heute gerieten damals aber speziell Bankkunden aus der DACH-Region (Deutschland, Österreich, Schweiz) und deren TAN-Nummern ins Visier der Phisher. Die neueste Version betrifft zwar ebenfalls Privatanwender, der Trojaner zielt dieses Mal aber auch verstärkt auf Unternehmen und Behörden ab. Das BSI wurde auf die Bedrohung aufmerksam, nachdem mehr und mehr Meldungen bezüglich Emotet bei der Bundesbehörde eingingen. Laut offizieller Information hatten in den vergangenen Tagen einige Unternehmen sogar mit Ausfällen ihrer kompletten IT-Infrastruktur zu kämpfen – es entstanden Schäden in Millionenhöhe.
Wie gehen die Betrüger vor?
Wie schaffen es Cyberkriminelle auch heute noch, Nutzer dermaßen hinters Licht zu führen? Phishing ist schließlich längst keine Neuheit mehr und die Versuche sind in der Regel aufgrund schlechter Rechtschreibung bzw. Grammatik und/oder offensichtlicher Fake-E-Mail-Adressen leicht auszumachen. Das stimmt natürlich – allerdings kommen die Emotet-E-Mails täuschend echt daher und sind deshalb auf den ersten Blick nur schwer als Fake erkennbar. Möglich macht das Erstellen solcher authentisch wirkenden Phishing-E-Mails das sogenannte Outlook-Harvesting: Über die bereits infizierten Systeme erhält Emotet mittlerweile Zugang zu unzähligen E-Mail-Kontaktbeziehungen und -nachrichten. Auf Grundlage dieser Informationen werden neue Phishing-E-Mails verschickt, die dem Empfänger vortäuschen, von einer Person zu stammen, mit der er oder sie erst neulich E-Mails ausgetauscht hatte. Ist ein Computer erstmal infiziert, kann Emotet problemlos weitere Malware nachladen, zum Beispiel um einen vollständigen Remote-Zugriff durchführen zu können.
Die gefälschten E-Mails, die momentan im Umlauf sind, enthalten im Anhang eine Doc-Datei mit Makros. Makros sind eine Zusammenfassung mehrerer Befehle. Solange der Empfänger die Makros nicht aktiviert, darf er sich in Sicherheit wiegen. Klickt er aber darauf, erfolgt eine Infektion des Systems mit Emotet.
Gibt es Schutz vor Emotet?
Die verantwortlichen Cyberkriminellen bauen Emotet permanent aus, weshalb viele Virenscanner die Bedrohung nicht immer gleich als solche erkennen. Das BSI empfiehlt daher, regelmäßig Updates der Antiviren-Software durchzuführen. Dabei handelt es sich nicht um den einzigen Rat der Bundesbehörde: Auf der Webseite der BSI-Initiative “Allianz für Cyber-Sicherheit” wurde eine Liste mit verschiedenen Maßnahmen zusammengestellt, die Unternehmen aus Sicht der Behörde umsetzen müssen bzw. sollten, um das Risiko einer Emotet-Infektion einzudämmen. Neben Aspekten wie der Sensibilisierung der Mitarbeiter, der Durchführung von Backups oder der Verwendung von Zwei-Faktor-Authentifizierung verweist das BSI darin auch auf das Thema E-Mail-Verschlüsselung.
Die Verschlüsselung von E-Mails sollte in der heutigen Zeit (eigentlich längst) gang und gäbe sein. Warum? Werden E-Mails nicht verschlüsselt, kann im Prinzip jeder mitlesen – und wer will das schon? InterNetX bietet Ihnen beispielsweise mit S/MIME eine professionelle Lösung, um Ihre E-Mails zu verschlüsseln. Darüber hinaus ermöglicht S/MIME auch die E-Mail-Signatur, die dem Empfänger versichert, dass eine Nachricht auch tatsächlich vom vermuteten Absender und nicht einem Phisher stammt. Allein durch das Verschlüsseln und Signieren Ihrer E-Mails schützen Sie sich also gekonnt vor Phishing-Attacken.
Möchten Sie mehr über E-Mail-Sicherheit und S/MIME erfahren? Dann legen wir Ihnen unser neuestes Whitepaper “Für mehr Sicherheit im E-Mail-Verkehr: E-Mail Security” nahe.
Hat Sie Emotet bereits erwischt?
Falls ja: Ruhe bewahren. Auch für den Worst Case hält das BSI einige Ratschläge parat:
- Isolieren Sie die Systeme beim Verdacht auf eine Emotet-Infektion sofort vom Netzwerk, indem Sie das LAN-Kabel ziehen. Nur so kann unterbunden werden, dass sich Emotet weiter ausbreitet.
- Vermeiden Sie es unbedingt, dass sich jemand mit einem privilegierten Nutzerkonto auf einem (möglicherweise) infizierten System anmeldet, solange das Netzwerk noch aktiv ist.
- Behandeln Sie betroffene Systeme grundsätzlich als vollständig kompromittiert und setzen Sie diese neu auf, da Emotet teils irreversible Änderungen vornimmt.
- Ändern Sie alle Passwörter, die auf dem betroffenen System gespeichert waren bzw. nach Infektion eingegeben wurden.
- Kommunizieren Sie den Vorfall keinesfalls über interne E-Mails, sondern greifen Sie auf externe Adressen zurück, damit die Cyberkriminellen nicht merken, dass sie bereits ertappt wurden.
- Nutzen Sie das Meldeformular für Cyber-Angriffe des BSI, um den Vorfall zu melden.
- Erstatten Sie bei der Zentralen Ansprechstelle Cybercrime (ZAC) Ihres Bundeslandes Strafanzeige.
- Informieren Sie Ihre Mitarbeiter entsprechend über den Angriff, um sie für die Zukunft zu sensibilisieren und auch deshalb, weil nicht ausgeschlossen werden kann, dass auch private Zugangsdaten der Mitarbeiter gestohlen wurden.
- Warnen Sie Ihre Geschäftspartner bzw. Kunden vor potenziellen Phishing-E-Mails, die bald bei ihnen eingehen könnten.
Beispiele wie Emotet zeigen in aller Deutlichkeit auf, wie schwer es heutzutage sein kann, Phishing zu entgehen. Mit den richtigen Schutzmaßnahmen, zum Beispiel E-Mail-Verschlüsselung und -Signatur, können Sie die Gefahr, Phishern zum Opfer zu fallen, jedoch um ein Vielfaches reduzieren.
InterNetX hat S/MIME, den Standard zum Verschlüsseln und Signieren von E-Mails, im Angebot.