Suchen

Trojaner Emotet hat Deutschland weiterhin im Griff

| Autor: Susanne Ehneß

Emotet hat in den letzten Monaten immer wieder Stadtverwaltungen, Krankenhäuser und Universitäten lahmgelegt. Der Trojaner zählt laut BSI aktuell zu den gefährlichsten Schadprogrammen.

Firmen zum Thema

Emotet ist eine der meistverbreiteten Malware-Familien, sie hat nahezu jeden Sektor im Visier
Emotet ist eine der meistverbreiteten Malware-Familien, sie hat nahezu jeden Sektor im Visier
(© valerybrozhinsky - stock.adobe.com)

Das Kammergericht Berlin, die Universität Gießen, das Klinikum Fürth sowie die Städte Frankfurt und Bad Homburg – sie alle wurden Opfer der Schadsoftware Emotet. Der Trojaner wurde erstmals 2014 identifiziert und ist nach wie vor aktiv.

„Die Folgen der Emotet-Attacken waren gravierend: Behörden blieben wegen der Abschaltung der IT-Systeme geschlossen, Kliniken haben keine neuen Patienten angenommen und mussten Operationen verschieben, Mitarbeiter konnten teilweise ihre Computer nur noch als Schreibmaschine nutzen, nachdem die Geräte unter Quarantäne gestellt wurden. Neben dem Verlust sensibler Daten kann eine Infektion durch die Schadsoftware so weit führen, dass ganze IT-Infrastrukturen neu aufgebaut werden müssen“, erläutert Jochen Koehler, Regional VP Sales Europe bei Security-Anbieter Bromium.

Laut Koehler gehen Niedersachsens Finanzbehörden inzwischen sogar so weit, dass sie aus Angst vor Cyber-Attacken Mails mit Linkadressen oder Office-Anhängen blockieren. Daten und Infrastrukturen zu schützen, indem man Zugriffe auf Anhänge und Internetlinks in eMails an sich verhindert, gehören laut Koehler sicherlich zu der Art von Maßnahmen, die man als letzten Ausweg betrachten könne.

„Emotet ist deshalb so gefährlich, weil er ständig weiter verbessert wird. In Sicherheit sollte sich deshalb niemand wiegen, längst stehen Unternehmen und Einrichtungen jeder Größe und Branche im Fadenkreuz der Hacker, wie die zahlreichen Angriffe der letzten Wochen gezeigt haben“, so Koehler weiter.

Wie funktioniert Emotet?

Emotet versteckt sich in den Anhängen von eMails, etwa als Word-Dokument, oder in eingefügten Links auf Web-Seiten, die den Schadcode ausliefern. Wird der infizierte Anhang geöffnet beziehungsweise der Link angeklickt, späht das Programm die infizierten Mail-Systeme aus. Emotet hat dabei die Fähigkeit, neben Kontaktinformationen auch Nachrichteninhalte auszulesen. Über diesen Türöffner kann sich die Schadsoftware lange Zeit unerkannt weiterverbreiten und täuschend echt aussehende Spam-Mails von Absendern verschicken, mit denen man zuletzt in Kontakt stand.

Emotet lädt aber nicht nur Überwachungssoftware auf den Rechner, sondern auch weitere Schadprogramme nach: beispielsweise Ransomware, die flächendeckend die Daten eines infizierten Systems verschlüsselt oder ganze Netzwerke lahmlegt und dann Lösegeld fordert.

„Als Spam-Aktion ist Emotet der erste Schritt in einem kriminellen Vorgang, der zur Infektion durch beliebig viele Malware-Familien führen kann. Zurzeit schleust Emotet die Banking-Malware Trickbot ein, die bereits die Tore zu enormen Ransomware-Aktivitäten geöffnet hat“, bestätigt Kimberly Goody, Senior Manager, Cybercrime Analysis bei Security-Anbieter FireEye.

Gegenmaßnahmen

„Man kann nicht mehr blind jeder eMail vertrauen, selbst wenn sie auf den ersten Blick von Kollegen und Freunden zu kommen scheint“, erläutert Goody. Insbesondere bei eMails mit Links oder Anhängen sei Vorsicht geboten. „Solange unklar ist, welchen Zweck sie erfüllen, sollten Benutzer keine Makros oder andere aktive Inhalte innerhalb eines Dokuments aktivieren – zumindest, bis sie sich bei dem Absender über einen alternativen Kommunikationskanal rückversichert haben“, empfiehlt Goody.

Koehler setzt auf Micro-Virtualisierung. „Bei der Micro-Virtualisierung wird jede riskante Anwenderaktivität wie das Öffnen eines eMail-Anhangs oder das Downloaden eines Dokuments in einer eigenen Micro-VM (Virtual Machine) gekapselt. Eine mögliche Schädigung durch ein Schadprogramm bleibt dadurch immer auf die jeweilige Micro-VM beschränkt, die zudem nach Beendigung einer Aktivität wieder automatisch gelöscht wird. Eine Kompromittierung des Endgerätes und nachfolgend des Netzwerks über einen dieser Angriffswege ist damit ausgeschlossen“, so Koehler.

(ID:46337762)