Emotet ist ein Trojaner, der mit ausgesprochen realistisch wirkenden Phishing-Mails ins Haus flattert. Da die Phishing-Mails kaum von echten E-Mails unterschieden werden k\u00f6nnen und Emotet hierzulande derzeit ganze Firmen lahmlegt, warnen CERT-Bund, BSI und die Cybercrime-Spezialisten des LKAs deutlich. Emotet hat in Einzelf\u00e4llen bereits f\u00fcr Sch\u00e4den in Millionenh\u00f6he gesorgt.<\/p>\n
Wie Emotet verbreitet wird, ist das Perfide an der Sache: Scheinbar stammen die E-Mails mit dem Trojaner im Anhang von Bekannten, Kollegen oder Gesch\u00e4ftspartnern. Emotet liest Kontakte sowie Inhalte aus den Postf\u00e4chern bereits infizierter Systeme aus. Der Trojaner ist nicht neu, jedoch wird er nun f\u00fcr Spear Phishing-Angriffe genutzt. BSI-Pr\u00e4sident Arne Sch\u00f6nbohm warnt:<\/p>\n
„Emotet ist nach unserer Einsch\u00e4tzung ein Fall von Cyber-Kriminalit\u00e4t, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualit\u00e4t der Gef\u00e4hrdung gesprochen und sehen uns durch Emotet darin best\u00e4tigt. Wir fordern deswegen Unternehmen und Organisationen auf, ihre IT-Infrastruktur und insbesondere ihre kritischen Gesch\u00e4ftsprozesse vor dieser Art der Bedrohung zu sch\u00fctzen und ihre IT-Sicherheitsma\u00dfnahmen angemessen auszubauen.“<\/p>\n
Die Angreifer achten beim Spear Phishing darauf, der Zielperson eine auf sie zugeschnittene E-Mail zu senden. In dieser E-Mail soll das Opfer dazu verleitet werden, einen Link anzuklicken oder aber den E-Mail-Anhang zu \u00f6ffnen. So ist es kein Problem f\u00fcr die Angreifer, selbst in die gesicherten Netze von Regierungen, R\u00fcstungskonzernen oder anderen Organisationen einzudringen.<\/p>\n
Schon seit Monaten sammelt Emotet Informationen dar\u00fcber, wer mit wem innerhalb eines Unternehmens kommuniziert. Sogar die Inhalte der E-Mails werden in den letzten Versionen des Trojaners abgegriffen. In der Folge k\u00f6nnen die Angreifer nahezu perfekte Phishing-E-Mails versenden, die an das g\u00e4ngige Kommunikationsschema des Unternehmens angepasst sind.<\/p>\n
Heise Security geht sogar einen Schritt weiter und spricht vom „Dynamit-Phishing“<\/a>, da die E-Mails automatisiert erstellt und in sehr gro\u00dfer Zahl versendet werden. Vom Spear-Phishing kann damit wirklich nur bedingt die Rede sein.<\/p>\n So enthalten die aktuellen Emotet-Phishing-Mails einen .doc-Anhang mit Makros. Leider geschieht es immer und immer wieder, dass der Empf\u00e4nger nach dem \u00d6ffnen des Dokuments selbigem erlaubt, Makros zu verwenden. So hat der Trojaner leichtes Spiel: Der Rechner wird einfach \u00fcber die eingebetteten PowerShell-Kommandos infiziert, weitere Schadsoftware l\u00e4dt aus dem Internet nach. Nachgeladen werden kann beispielsweise der Banking-Trojaner Trickbot.<\/p>\n Den eigentlichen Schaden verursacht also nicht die Erstinfektion. Entsprechend dem Vorbild der APT-Hacker versucht Emotet, sich im Netz auszubreiten („Lateral Movement“). Genutzt werden daf\u00fcr die auf dem Computer verwendeten Zugangsdaten sowie ein Exploit. Der Exploit stammt aus den geheimen NSA-Labors.<\/p>\n Leider gibt es keine 100-prozentige Sicherheit. Dennoch k\u00f6nnen Sie verschiedene Schutzma\u00dfnahmen auf organisatorischer und technischer Ebene umsetzen, die das Infektionsrisiko durch Emotet oder \u00e4hnliche Angriffe signifikant reduzieren. Insbesondere z\u00e4hlen dazu Sicherheitsma\u00dfnahmen zur sicheren E-Mail-Nutzung, unter anderem das Verwenden von S\/MIME<\/a>, der Verzicht auf das Nachladen externer Inhalte sowie Vorsicht beim Anklicken von enthaltenen Links. Eine optimierte Sicherheit erreichen Sie au\u00dferdem durch folgende Punkte:<\/p>\n Das BSI gibt noch weitere Empfehlungen, die Sie umsetzen m\u00fcssen und sollten. Informationen finden Sie auf der Website des BSI<\/a>.<\/p>\n Sind die Systeme Ihrer IT-Organisation bereits infiziert, sollten Sie die folgenden Schritte beachten:<\/p>\n Mit der Emotet-Angriffswelle wird sehr deutlich, wie ausgereift Phishing-Attacken mittlerweile sind. Die Zeiten, in denen Phishing-Mails schon an ihrem schrecklichen \u00c4u\u00dferen erkannt werden konnten, sind vorbei! Deshalb verursachen Attacken wie Emotet immer h\u00f6here Sch\u00e4den. Es lohnt sich, immer up-do-date zu bleiben. Auch lohnt es sich, in Awareness-Ma\u00dfnahmen f\u00fcr die Mitarbeitersensibilisierung zu investieren. Denn alle organisatorischen und technischen Vorkehrungen nutzen nichts, wenn die Mitarbeiter ahnungslos bleiben und mit ihrem Verhalten die Sicherheit des Unternehmens massiv gef\u00e4hrden.<\/p>\nWie Sie sich effektiv vor Emotet sch\u00fctzen<\/h2>\n
\n
Was tun, wenn eine Infizierung bereits stattgefunden hat?<\/h2>\n
\n
Fazit zum Spear Phishing mit Emotet<\/h2>\n