Wissen über Cyberbedrohungen wie Emotet schaffen
Emotet ist zurück: Unternehmen müssen jetzt ihre IT-Sicherheit stärken
In der Vergangenheit wurde das Schadprogramm Trickbot nachgeladen, wenn es Emotet einmal aufs System geschafft hatte. Nun ist es genau andersherum
Es gibt kaum eine andere Schadsoftware, die derartig raffiniert ihr Unwesen treibt wie Emotet. Nachdem 2021 die Zerschlagung der Infrastruktur von Emotet durch Behörden gelang, war es lange Zeit ruhig um die Schadsoftware. Doch die Aktivitäten mit dem Schädling haben wieder zugenommen, warnen die IT-Sicherheitsexperten der PSW Group.
"Was wir bisher wissen, ist, dass neue Emotet-Varianten ausgerechnet durch die Schadsoftware Trickbot verbreitet werden. Dieses Warnsignal müssen wir sehr ernst nehmen und von einer deutlichen Zunahme an Ransomware-Attacken noch in diesem Jahr ausgehen. Denn Emotet ist eine der heimtückischsten Schadprogramme, die wir kennen. Einmal auf dem Rechner gelandet, lädt Emotet weitere Trojaner nach, die sich ihrerseits im Netzwerk einnisten und Backdoors installieren", sagt Partrycja Schrenk, Geschäftsführerin der PSW Group.
In der Vergangenheit wurde das Schadprogramm Trickbot nachgeladen, wenn es Emotet einmal aufs System geschafft hatte. Nun ist es genau andersherum und Trickbot verbreitet neue Emotet-Varianten. Rund 140.000 Trickbot-Emotet-Opfer in 149 Ländern soll es in den vergangenen zehn Monaten, die seit der vermeintlichen Zerschlagung der Emotet-Infrastruktur vergangen sind, bereits geben. Zu dieser Einschätzung kommen die Sicherheitsforschenden von Check Point Research.
"Auch Forschende von Cryptolaemus mahnen bereits zur Vorsicht, denn sie haben ein extremes Spam-Aufkommen aus neuen Emotet-Botnetzen beobachtet. Dabei werde mit schon bekannten Social Engineering-Tricks gearbeitet, bei denen gefälschte E-Mails aussehen, wie eine scheinbare Antwort von bekannten Absendenden", ergänzt Patrycja Schrenk. In der E-Mail werden die Opfer gebeten, den Office-Anhang zu öffnen. Wer die Excel-Dateien öffnet, wird dazu aufgefordert, den Inhalt zu aktivieren, sodass Makros ausgeführt werden können. Mit dem Gestatten von Makros wird Schadcode aus dem Internet nachgeladen und das System infiziert.
Analysen von Sicherheitsforschenden von Zscaler zeigen außerdem, dass es bei der aktuellen Emotet-Version offenbar Änderungen bei der genutzten Verschlüsselung und den Command & Control-(C&C)-Daten gibt. Für die C&C-Kommunikation scheint die Schadsoftware HTTPS anstelle von HTTP zu nutzen, sodass Emotet einer frühen Erkennung entgehen kann. Black Lotus Labs fand zudem heraus, dass es den Cyberkriminellen hinter Emotet möglich ist, über die Liste laufender Prozesse auf kompromittierten Systemen zusätzliche Systeminformationen zu sammeln. Die Botnet-Infrastruktur umfasst den Erkenntnissen dieser Sicherheitsforschenden zufolge knapp 200 C&C-Server – die meisten Domänen befinden sich in den USA, in Deutschland, Frankreich, Kanada, Großbritannien sowie Ländern Südostasiens.
"Die Beobachtungen verschiedener Sicherheitsforscher zeigen, dass Emotet seine alte Vormachtstellung zwar noch nicht wieder innehat, jedoch ist das Botnetz auf dem besten Weg dahin, diese wieder einzunehmen", so Schrenk.
Angesichts dieser Entwicklung sollten sich Unternehmen dringend vorbereiten. Dazu gehört zum Einen, ein Wissen über Cyberbedrohungen wie Emotet zu schaffen – durch Sensibilisierung der Beschäftigten in Awareness-Schulungen. Zum anderen sind technische Maßnahmen zu ergreifen. Dazu gehört es, Sicherheitsupdates zeitnah einzuspielen, um etwaige Sicherheitslücken zu schließen, eine Antiviren-Software zu nutzen und auch diese regelmäßig zu patchen, sowie Backups zu erstellen. "Sollte Ransomware Daten verschlüsseln, ist eine vorherige Datensicherung in regelmäßigen Intervallen Gold wert. Wichtig ist allerdings, die Backups getrennt von der sonstigen IT-Infrastruktur aufzubewahren. Nach dem Reinigen der Systeme können diese Daten dann einfach wieder in das System eingespielt werden", so Schrenk.
Hilfreich ist auch ein Monitoring der IT-Infrastruktur durch Künstliche Intelligenz, beispielsweise mit XDR-Lösungen. Sie setzen nicht nur an Endpunkten an, sondern behalten die komplette IT-Infrastruktur im Blick und schlagen bei Veränderungen Alarm. "Ich rate außerdem zur Netzwerk-Segmentierung, bei der Client-, Server-, Domain-Controller-Netze sowie die Produktionsnetze voneinander getrennt und jeweils isoliert administriert werden", gibt Schrenk einen Tipp und fährt fort: "Zudem verhindert ein ausführliches und fein granular ausgearbeitetes Berechtigungskonzept unbefugte Zugriffe auf die Infrastruktur sehr effizient. Anfangs mag das nach viel Arbeit aussehen, die sich jedoch im späteren Verlauf lohnt, da Anpassungen bei Bedarf schnell realisiert sind." Nicht vergessen: Auch externe Zugriffe auf das Unternehmensnetzwerk sollten durch ein VPN abgesichert werden. Ganz nach dem Mott "Doppelt hält besser" empfiehlt die IT-Sicherheitsexpertin, diese Zugänge zusätzlich durch Multi-Faktor-Authentifizierung abzusichern: "Sogar wenn Kriminelle an Zugangsdaten gelangen, fehlt ihnen ein weiterer Faktor, der zum Login notwendig ist." (PSW Group: ra)
eingetragen: 17.06.22
Newsletterlauf: 28.07.22
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.