{"id":7415,"date":"2020-03-03T13:44:54","date_gmt":"2020-03-03T12:44:54","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7415"},"modified":"2026-01-23T10:29:36","modified_gmt":"2026-01-23T09:29:36","slug":"trojaner-emotet-erkennen-massnahmen","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/trojaner-emotet-erkennen-massnahmen\/","title":{"rendered":"Emotet erkennen: Ma\u00dfnahmen gegen Trojaner"},"content":{"rendered":"

Emotet \u2013 im Jahre 2019 vom BSI als „K\u00f6nig der Schadsoftware“ bezeichnet \u2013 ist nach wie vor aktiv. Neben Stadtverwaltungen wurden Beh\u00f6rden, Kliniken und Universit\u00e4ten lahmgelegt, man war auf Zettel und Stift angewiesen. Die Ransomware zeigte sich in der Vergangenheit als sehr anpassbar, was sie so gef\u00e4hrlich macht. Im „State of Malware“-Report 2019 (PDF-Download<\/a>) zeigte Malwarebytes auf, dass Emotet im Jahre 2019 die zweith\u00e4ufigste Bedrohung f\u00fcr Unternehmen darstellte \u2013 direkt hinter der Adware Yontoo, die im Jahresvergleich um sagenhafte 6.000 % zulegte. In unserem heutigen Beitrag zeigen wir auf, was Emotet angerichtet hat und mit welchen Ma\u00dfnahmen Sie sich gegen den Trojaner r\u00fcsten k\u00f6nnen.<\/p>\n

 <\/p>\n

Phoenix aus der Asche: Trojaner Emotet bleibt aktiv<\/h2>\n

Emotet ist schon seit 2014 aktiv. In unserem Beitrag „Spear-Phishing mit Emotet“<\/a> berichteten wir erstmals 2018 \u00fcber die trickreiche Ransomware, aber erst in den vergangenen zwei Jahren zeigte Emotet so richtig, was die Malware kann. Wer steckt eigentlich hinter der Schadsoftware? So genau wei\u00df man das wohl nicht, das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) \u00e4u\u00dfert sich dazu nicht. Es gibt Ger\u00fcchte, in denen Osteuropa oder Russland als Ursprungsgegenden infrage kommen, jedoch existieren keine seri\u00f6sen Belege. Das BSI ist sich sicher, dass „die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzen zus\u00e4tzlich auf weitere Schadsoftware, um die „eigenen Ziele zu verfolgen“, erkl\u00e4rt das BSI. Diese Ziele seien finanzieller Natur, das BSI geht nicht von Spionage aus.<\/p>\n

Ende 2018 wurde es etwas ruhiger um Emotet; offenbar machten auch die Cyberkriminellen eine kleine Weihnachtspause. Im M\u00e4rz 2019 meldete sich der Sch\u00e4dling jedoch mit aller Macht zur\u00fcck; wir berichteten<\/a>. Sehen wir uns an, was Emotet seither angerichtet hat:<\/p>\n

Emotet zielt auf heise.de<\/h3>\n

Als am Montag, den 13. Mai 2019 kurz vor 15 Uhr ein Mitarbeiter eine Mail \u00f6ffnete, die sich auf einen real existierenden Gesch\u00e4ftsvorfall bezog, nahm das Unheil in der Heise-Redaktion seinen Lauf: Der vermeintliche Gesch\u00e4ftspartner bat in der E-Mail darum, kurz noch die Daten im beigef\u00fcgten Word-Dokument zu \u00fcberpr\u00fcfen und gegebenenfalls anzupassen. Der Heise-Mitarbeiter \u00f6ffnete das Dokument und eine (manipulierte) Fehlermeldung forderte dazu auf, „Enable Editing“ anzuklicken. Damit gab der Mitarbeiter dem Trojaner den Startschuss: Im Hintergrund infizierte Emotet munter das Windows-System, um sich dann im Heise-Netz zu tummeln.<\/p>\n

Die Admins der Heise-Redaktion entschieden sich, das Netz inklusive neu aufgesetzten Rechnern sowie einem neuen Active Directory hochzuziehen. In diesem Zuge wurden au\u00dferdem versch\u00e4rfte Sicherheitsma\u00dfnahmen umgesetzt, die \u00e4hnliche Situationen k\u00fcnftig idealerweise vermeiden oder zumindest erschweren. Nur unter gr\u00f6\u00dfter Vorsicht wurden existierende Daten, Tools und \u00c4hnliches Schritt f\u00fcr Schritt ins neue Netzwerk \u00fcbertragen. Den kompletten Bericht zu dem Vorfall k\u00f6nnen Sie direkt auf heise.de<\/a> nachlesen.<\/p>\n

Berliner Kammergericht ist offline<\/h3>\n

Im September 2019 wurde das Berliner Kammergericht von Emotet in die Knie bzw. in die Internetlosigkeit gest\u00fcrzt. Eine infizierte E-Mail gab Emotet den Weg ins Netz des obersten Straf- und Zivilgerichts frei. Hie\u00df es zun\u00e4chst von offizieller Seite, dass keine Daten entwendet wurden, best\u00e4tigen j\u00fcngste Meldungen, dass Daten gestohlen wurden.<\/p>\n

Das Cyber Emergency Response Team von T-Systems erstellte ein Gutachten (s. Pressemeldung auf berlin.de<\/a>), aus dem hervorgeht, dass Daten abgezogen wurden. Laut Gutachten w\u00fcteten Emotet und Trickbot \u00fcber mehrere Tage hinweg ungehindert durchs Netz des Gerichts und zogen dabei Daten ab, etwa Login-Daten. Au\u00dferdem g\u00e4be es Indizien daf\u00fcr, dass sich Angreifer einen manuellen, interaktiven Zugang verschaffen konnten.<\/p>\n

Hie\u00df es seitens des Kammergerichts zun\u00e4chst, man werde wohl bis Anfang 2020 offline bleiben, wird das Kammergericht bis auf weiteres auf Telefon, Fax und Briefpost ausweichen, wie auf der Website zu lesen ist. Das elektronische Anwaltspostfach funktioniere, die Gesch\u00e4ftsstelle f\u00fcr Justizverwaltungsangelegenheiten ist auch wieder per E-Mail erreichbar. Dennoch bleibt die Erreichbarkeit weiterhin eingeschr\u00e4nkt \u2013 bis wann, ist unklar.<\/p>\n

Angriff auf Uni Gie\u00dfen<\/h3>\n

Auch die Uni Gie\u00dfen blieb nicht verschont: Im Dezember 2019 meldete die Universit\u00e4t, komplett offline zu sein und zu bef\u00fcrchten, Opfer einer Hackerattacke geworden zu sein. Man habe die Server schnellstm\u00f6glich heruntergefahren; Internet, E-Mail-Systeme oder interne Netzwerke konnten nicht genutzt werden.<\/p>\n

Das Herunterfahren der Server war ein guter Gedanke: Wenngleich der Sch\u00e4dling \u2013 wahrscheinlich Emotet \u2013 bereits im System war, gelang es durch das Herunterfahren, s\u00e4mtliche wissenschaftlichen Daten sowie die Datenbest\u00e4nde der Verwaltung zu sch\u00fctzen. Im Dezember liefen Lehr- und Forschungsbetrieb im Notfallmodus; der Normalzustand wird seit Januar schrittweise wiederhergestellt.<\/p>\n

Landesamt f\u00fcr Steuern geht offensiv vor<\/h3>\n

\u00d6ffentliche und privatwirtschaftliche Stellen m\u00f6chten verhindern, auf \u00e4hnliche Weise getroffen zu werden \u2013 so auch das Land Niedersachsen. Man k\u00f6nnte sicherlich daran arbeiten, die IT-Infrastruktur so umzuorganisieren, dass sie hinreichend Widerstand bietet. Niedersachsen jedoch geht andere Wege und beschneidet sich selbst in den eigenen Kommunikationsm\u00f6glichkeiten: Schon seit Monaten nimmt das Bundesland keine E-Mails mehr entgegen, die Office-Dokumente enthalten. Wie das Land in einer Pressemeldung<\/a> darlegt, werden s\u00e4mtliche Nachrichten an die Finanz\u00e4mter Niedersachsens, ans Landesamt f\u00fcr Steuern Niedersachsen sowie an die Steuerakademie Niedersachsen blockiert, die einen Link enthalten. Auch hier ist der Hinweis darauf gegeben, dass E-Mails mit Office-Anh\u00e4ngen ebenfalls blockiert werden.<\/p>\n

Wir sind uns sicher: Sinnvoller w\u00e4re es, die IT entsprechend zu sichern. In den folgenden Abschnitten verraten wir Ihnen, wie Sie sich effizient vor Emotet sch\u00fctzen k\u00f6nnen, ohne Ihre Kommunikation derartig zu beschneiden.<\/p>\n

Emotet nutzt Angst vor Coronavirus<\/h3>\n

\u00c4ngste in der Bev\u00f6lkerung sind oft ein Fest f\u00fcr Cyberkriminelle. So wundert es wenig, dass die \u00c4ngste, die derzeit durch das Coronavirus ausgel\u00f6st werden, auch mithilfe von Emotet ausgenutzt werden. Wie das US-amerikanische Cybersecurity-Unternehmen Proofpoint herausfand<\/a>, versenden Cyberkriminelle angeblich Dokumente, die zur Aufkl\u00e4rung dienen sollen. Diese Dokumente sind jedoch verseucht und sollen Emotet weiter in Umlauf bringen.<\/p>\n

Emotet nimmt WLANs ins Visier<\/h3>\n

Emotet ist ein echter Verwandlungsk\u00fcnstler, der sich immer wieder neu erfindet. Wie im Februar bekannt wurde, scannt die Ransomware nun auf infizierten Rechnern nach WLANs, die sich in der N\u00e4he befinden. Die Sicherheitsforscher von Binary Search erkl\u00e4rten, dass bei den WLAN-Attacken eine interne Passwortliste zum Einsatz k\u00e4me. Bei der Emotet-Analyse entdeckten die Forscher ein sich selbst entpackendes RAR-Archiv mit den Programmen worm.exe sowie service.exe. Diese Tools erstellen auf WLAN-Rechnern eine Liste von allen erkennbaren Funknetzen. Der Sch\u00e4dling versucht im Anschluss, sich dort anzumelden, indem systematisch s\u00e4mtliche Passw\u00f6rter der Liste ausprobiert werden.<\/p>\n

Danach folgt das \u00fcbliche Emotet-Programm, sodass alle im WLAN gefundenen Windows-Rechner infiziert werden. Das schlie\u00dft Zugriffe auf Dateifreigaben, aber auch Windows- bzw. Active Directory-Konten ein. Der Sch\u00e4dling meldet alle gesammelten Informationen einschlie\u00dflich der Funknetz-Namen sowie deren Passw\u00f6rter an einen Command and Control Server (C2). Binary Search fand heraus, dass dieses WLAN-Modul schon bald zwei Jahre alt, bislang allerdings unbekannt ist.<\/p>\n

Brute-Force-Angriffe dieser Art k\u00f6nnen gegen sichere WLAN-Passw\u00f6rter nichts ausrichten. Das Verwenden von Standardpassw\u00f6rtern jedoch ist gef\u00e4hrlich und sollte dringend \u00fcberdacht werden.<\/p>\n

Emotet und Microsoft Office 365<\/h3>\n

Eine der wichtigsten Schutzma\u00dfnahmen vor Emotet ist es, das Ausf\u00fchren von Makros in Microsoft Office zu unterbinden. Die meisten Office-User nutzen ohnehin keine Makros \u2013 das kann \u00fcber Gruppenrichtlinien in Unternehmen recht simpel eingerichtet werden. Sollte man zumindest meinen. Da Microsoft das Administrieren mit Gruppenrichtlinien jedoch verschlimmbessert hat, ist dieser Schutz nicht so zuverl\u00e4ssig, wie gemeinhin angenommen.<\/p>\n

Die Administratoren der Heise-Redaktion sind eher zuf\u00e4llig \u00fcber ein interessantes Aber gestolpert: Wenn in Ihrer Organisation einige die Office Professional Plus-Version nutzen, andere jedoch schon auf „Office 365 Business Premium“ gewechselt haben, werden von zweiterem die Gruppenrichtlinien ignoriert. Das geht nicht etwa mit einer Warnmeldung einher, sondern geschieht heimlich, still und leise. In welchen Office-Versionen die Gruppenrichtlinien ignoriert werden, f\u00fchrt heise selbst in diesem Beitrag<\/a> auf. Der Artikel geht auch darauf ein, dass das Ausf\u00fchren von Makros \u00fcber die Registry-Eintr\u00e4ge deaktiviert werden kann und dann \u00fcber die Gruppenrichtlinien verteilt wird. Das ist jedoch weder einfach noch ohne einen Haken m\u00f6glich. Heise erkl\u00e4rt im verlinkten Beitrag Details.<\/p>\n

Heise fand weiter heraus, dass es sich nicht um ein grunds\u00e4tzliches Office 365-Problem handelt. Vielmehr sind die preisg\u00fcnstigen Business-Versionen von dieser L\u00fccke betroffen. Die teuer vertriebenen Enterprise-Versionen unterst\u00fctzen die Gruppenrichtlinien wieder.<\/p>\n

 <\/p>\n

Ma\u00dfnahmen gegen Emotet und andere Trojaner<\/h2>\n

Beim Schutz gegen Emotet und andere Trojaner n\u00fctzt es nichts, sich ausschlie\u00dflich auf Antiviren-Software zu verlassen. Emotet zu erkennen, ist schon schwierig: Der polymorphe Virus ver\u00e4ndert bei jedem Abruf seinen Code ein wenig, sodass er bei signaturbasierten Suchen, wie sie viele Antiviren-Programme durchf\u00fchren, unentdeckt bleiben kann.<\/p>\n

Wie wir bereits in unserem Beitrag „Update zu Emotet“<\/a> geschrieben haben, gibt es keine 100-prozentige Sicherheit, kein Tool speziell gegen Trojaner, vor allem nicht, wenn sie so wandelbar sind wie Emotet. Jedoch k\u00f6nnen Sie durch organisatorische und technische Ma\u00dfnahmen Vorkehrungen treffen, die das Risiko einer Infektion signifikant reduzieren. Das BSI nennt Ma\u00dfnahmen, die umgesetzt werden m\u00fcssen, sowie Ma\u00dfnahmen, deren Umsetzung empfehlenswert ist. Beide stellen wir Ihnen im Folgenden vor.<\/p>\n

Dringend empfohlene Ma\u00dfnahmen gegen Emotet & Co.<\/h3>\n