Es gibt kaum eine andere Schadsoftware, die derartig raffiniert ihr Unwesen treibt wie Emotet. Nachdem 2021 die Zerschlagung der Infrastruktur von Emotet durch Beh\u00f6rden gelungen war, war es lange Zeit ruhig um die Schadsoftware. Doch in den letzten beiden Jahren nahmen die Aktivit\u00e4ten mit dem Sch\u00e4dling wieder zu. In unserem Beitrag stellen wir Ihnen verschiedene Szenarien kurz vor und geben Ihnen Tipps, wie Sie Ihre Abwehr gegen Emotet effizient verst\u00e4rken k\u00f6nnen.<\/p>\n
<\/p>\n
Im Jahr 2014 startete Emotet seine offenbar unaufhaltsame Karriere als Schadsoftware; ab 2018 etwa folgten beispiellose Angriffswellen – wir berichteten davon in unserem Beitrag \u201eSpear Phishing mit Emotet\u201c<\/a>. Niemand konnte den \u201eK\u00f6nig der Schadsoftware\u201c stoppen \u2013 bis es Ermittelnden im Jahr 2021 gelungen war, die IT-Infrastruktur von Emotet zu zerschlagen. In unserem Beitrag \u201eEmotet zerschlagen: K\u00f6nig der Schadsoftware entthront\u201c<\/a> berichteten wir im Februar 2021 von der gelungenen Aktion. In unserem Fazit dieses Beitrags mutma\u00dften wir bereits: \u201eEs gilt, wachsam zu bleiben, denn die Cyberkriminellen kehren entweder selbst zur\u00fcck oder finden z\u00fcgig Nachahmer\u201c.\u00a0Und so kam es dann auch:\u00a0Seit November 2021 werden wieder verst\u00e4rkte Emotet-Aktivit\u00e4ten festgestellt. Die Schadsoftware Trickbot ist ein alter Kollege des ber\u00fcchtigten Emotet-Botnetzes: In der Vergangenheit wurde das Schadprogramm Trickbot nachgeladen, wenn es Emotet einmal aufs System geschafft hatte.<\/p>\n \u2139 Nun ist es<\/em>Sicherheitsforschenden von Check Point Research (CPR) zufolge<\/a> andersherum:<\/strong> <\/p>\n Auch Forschende von Cryptolaemus (Twitter: @Cryptolaemus1<\/span>) mahnen zur Vorsicht: Man habe ein extremes Spam-Aufkommen aus neuen Emotet-Botnetzen beobachtet. Dabei werde mit schon bekannten Social Engineering<\/a>-Tricks gearbeitet, hei\u00dft es. Ein Teil der Spam-E-Mail schaut aus wie eine scheinbare Antwort von bekannten Absendenden. In der E-Mail werden die Opfer gebeten, den Office-Anhang<\/strong> zu \u00f6ffnen. Laut Cryptolaemus sind die Spam-Mails in verschiedenen Sprachen verfasst. Neben direkt angeh\u00e4ngten Excel-Tabellen<\/strong> k\u00f6nnten Anh\u00e4nge auch aus passwortgesch\u00fctzten ZIP-Archiven bestehen \u2013 offenbar der Versuch, die Mails an dem Spamfilter vorbeizuschummeln.<\/p>\n \u00d6ffnen Nutzende die Excel-Datei, erscheint die Aufforderung \u201eInhalt aktivieren\u201c, sodass Makros<\/strong> ausgef\u00fchrt werden k\u00f6nnen. Mit dem Gestatten von Makros wird Schadcode aus dem Internet nachgeladen; das System wird infiziert. IP-Adressen sind, so die Forschenden, mit oktaler, nicht dezimaler Notation angegeben, um sie vor Antivirensoftware verschleiern zu k\u00f6nnen.<\/p>\n Die Sicherheitsforschenden von Zscaler beobachteten die Verteilung von Emotet \u00fcber Spam-Kampagnen per E-Mail. Wie die Analysen<\/a> zeigen, \u00e4hnelt die aktuelle Emotet-Version fr\u00fcheren Varianten in einigen Aspekten, jedoch gibt es auch \u00c4nderungen wie bei der genutzten Verschl\u00fcsselung und den Command & Control-(C&C)-Daten. F\u00fcr die C&C-Kommunikation scheint die Schadsoftware HTTPS anstelle von HTTP zu nutzen, sodass Emotet einer fr\u00fchen Erkennung entgehen kann. Neu scheint au\u00dferdem zu sein, dass Emotet zum Verschl\u00fcsseln des Netzwerkverkehrs nun auf elliptische Kurven (Elliptic Curve Cryptography; ECC) anstelle von RSA setzt.<\/p>\n Black Lotus Labs<\/a>\u00a0fand zudem heraus, dass es den Cyberkriminellen hinter Emotet m\u00f6glich ist, \u00fcber die Liste laufender Prozesse auf kompromittierten Systemen zus\u00e4tzliche Systeminformationen zu sammeln. Die Botnet-Infrastruktur umfasst den Erkenntnissen dieser Sicherheitsforschenden zufolge knapp 200 C&C-Server; die meisten Dom\u00e4nen befinden sich in den USA, in Deutschland, Frankreich, Thailand, Brasilien, Indonesien, Singapur, Kanada, Gro\u00dfbritannien sowie Indien.<\/p>\n Die Beobachtungen verschiedener Sicherheitsforscher zeigen: Seine alte Vormachtstellung hat Emotet noch nicht wieder inne, jedoch ist das Botnetz auf dem besten Weg dahin, diese wieder einzunehmen. So wundert es kaum, dass die Schadsoftware die eine oder andere Malware-Liste anf\u00fchrt oder zumindest weit oben mitspielt:\u00a0Beispielsweise zeigt die Liste \u201eTop Malware M\u00e4rz 2022\u201c f\u00fcr die Schweiz von Check Point Software deutlich, dass Emotet mit Abstand Platz 1 der Top-Schadprogramme in der Schweiz<\/a> belegt. Dieser Trend sei auch weltweit zu beobachten: Zehn Prozent aller Unternehmen weltweit seien befallen \u2013 doppelt so viele bereits, wie noch im Februar 2022.<\/p>\n Anfang 2023 kommt die gef\u00e4hrliche Ransomware „Emotet“ als OneNote-E-Mail-Anhang getarnt zur\u00fcck. Diese neue Variante macht es noch schwieriger f\u00fcr Nutzende, die Gefahr zu erkennen und zu vermeiden. Wenn ein Nutzender auf den OneNote-E-M-Mail-Anhang klickt, wird die Schadsoftware heruntergeladen und die gesamte Festplatte des Computers verschl\u00fcsselt. Somit haben Angreifende leichtes Spiel und k\u00f6nnen ein L\u00f6segeld einfordern, um den Zugriff auf die Dateien wiederherzustellen (oder auch nicht). Es ist daher umso wichtiger, dass OneNote-Nutzende ein hohes Ma\u00df an Vorsicht walten lassen und sich vor potenziell verd\u00e4chtigen E-Mails und Anh\u00e4ngen h\u00fcten. Zur Not kontaktieren Sie die genannte Person \u00fcbers Telefon, ob es deren E-Mail und Anhang ist.<\/p>\n Die neue Variante von Emotet ist sehr geschickt in ihrer Tarnung als OneNote-E-Mail-Anhang. Dabei wird den Opfern vorgegaukelt, dass das Dokument gesch\u00fctzt sei und sie auf die Schaltfl\u00e4che „View“ klicken m\u00fcssen, um es anzusehen. Tats\u00e4chlich verbirgt sich dahinter ein eingebettetes Skript, das den Angriff auf den Computer ausl\u00f6st. Das bedeutet, dass die Ransomware nicht nur eine Bedrohung f\u00fcr Unternehmen und Privatnutzer darstellt, sondern auch ein Beispiel daf\u00fcr ist, wie geschickt Social Engineering eingesetzt werden kann, um Nutzende zum Herunterladen der Schadsoftware zu verleiten.<\/p>\n Microsoft selbst hat bereits die „OneNote“ Sicherheitsl\u00fccke oder auch Schwachstelle, durch die die Malware sich leichter als etwa mit dem Office-Makro einschleusen l\u00e4sst, erkannt und identifiziert. Es wird bereits an einer L\u00f6sung gearbeitet, um das Problem zu beheben und allgemein besseren Schutz vor Phishing Angriffen zu gew\u00e4hrleisten.<\/p>\n <\/p>\n Emotet ist also zur\u00fcck \u2013 und Sie sollten vorbereitet sein. Denn Pr\u00e4vention ist die beste Verteidigung, so sagt man umgangssprachlich. Dazu geh\u00f6rt es, ein Wissen \u00fcber Cyberbedrohungen wie Emotet zu schaffen \u2013 durch Sensibilisierungsma\u00dfnahmen<\/a><\/strong> f\u00fcr die eigenen Mitarbeitenden und sich selbst. In diesen Awareness-Schulungen erfahren Ihre Mitarbeitenden und Sie, welche Bedrohungen im World Wide Web existieren, sodass Sie diese vorbeugen, aber auch im Fall der F\u00e4lle reagieren k\u00f6nnen.<\/p>\n Ebenfalls sind weitere Ma\u00dfnahmen empfohlen:<\/p>\n Es ist nicht verwunderlich, dass sich Cyberkriminelle neue Wege und Bahnen erarbeiten, um wieder pr\u00e4sent und m\u00f6glichst viel Schaden zu verursachen. So wie das Voranschreiten der Zeit die Sicherheitsaspekte verbessert, entwickeln sich auch die Bedrohung und die Cyberkriminalit\u00e4t immer weiter. Dahingehend bleibt es nicht aus, dass Emotet pr\u00e4sent ist und auch bleibt. Neben den oben aufgef\u00fchrten Ma\u00dfnahmen gibt es auch eine Reihe an optionalen Ma\u00dfnahmen, die Sie durchf\u00fchren k\u00f6nnen, um die Sicherheit Ihrer Daten und des Systems zu erh\u00f6hen und Sie somit weniger anf\u00e4llig sind gegen einen Emotet Angriff. Eine Liste der optionalen Sicherheitsma\u00dfnahmen finden Sie in unserem Blogbeitrag „Emotet erkennen: Ma\u00dfnahmen gegen Trojaner<\/a>„.<\/p>\n
\nTrickbot verbreitet neue Emotet-Varianten. Die CPR-Sch\u00e4tzungen gehen von rund 140.000 Trickbot-Emotet-Opfern in 149 L\u00e4ndern aus \u2013 nur innerhalb der 10 Monate zwischen der vermeintlichen Zerschlagung der Emotet-Infrastruktur und dem Wiederaufleben gez\u00e4hlt. Als Head of Threat Intelligence bei CPR warnt Lotem Finkelsteen: \u201eEmotet war das st\u00e4rkste Bot-Netz in der Geschichte der Cyber-Kriminalit\u00e4t. Indessen hat es sein starkes Fundament an andere Hacker verkauft, um die Malware schnell zu verbreiten, zumeist an Ransomware-Banden. Das Comeback von Emotet ist ein Warnzeichen bez\u00fcglich eines weiteren Anstiegs der Ransomware-Angriffe im Jahr 2022, unser bester Indikator. Die Trickbot-Malware, welche stets mit Emotet zusammengearbeitet hat, erleichtert die Wiederkunft des Bot-Netzes, weil es diesem bei der Verbreitung hilft. So startet Emotet von einer sehr soliden Position, statt bei null. In nur zwei Wochen wurde Emotet damit zur siebt beliebtesten Malware weltweit, wie in unserer globalen Liste der Top-Malware zu sehen ist. Wir sollten au\u00dferdem mit Emotet- und Trickbot-Infektionen so umgehen, als handele es sich um Ransomware selbst, denn andernfalls ist es nur eine Frage der Zeit, bis es zu einem echten Ransomware-Angriff kommt.\u201c<\/em><\/p><\/blockquote>\nGefahr durch b\u00f6sartige E-Mail Anh\u00e4nge wie Dokumente, Excel-Tabellen und ZIP-Dateien<\/h3>\n
Emotet-Kampagne mit neuen Funktionen<\/h3>\n
Emotet f\u00fchrt in Top-Malware-Listen<\/h3>\n
Ransomware „Emotet“ kehrt als OneNote-E-Mail-Anhang zur\u00fcck<\/h3>\n
So k\u00f6nnen Sie sich vor Emotet\u00a0sch\u00fctzen!<\/h2>\n
\n
Weitere optionale Ma\u00dfnahmen gegen Emotet?<\/h3>\n