Emotet ist offiziell zerschlagen – aber der Schein trügt
von Svenja Koch
Outlook-Harvesting von Emotet stellt neue Qualität der Cyberkriminalität dar
Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben im Januar 2021 im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust übernommen und zerschlagen.
Was auf den ersten Blick wie eine beruhigende Nachricht klingt, entpuppt sich bei genauerem Hinsehen als nicht zu unterschätzende Zeitbombe, denn das ganze Ausmaß der Aktivitäten wird erst jetzt sichtbar. Das diffuse Risiko, die von dieser Schadsoftware ausgeht, ist noch lange nicht gebannt. Durch die spezielle Methodik, mit der die Angreifer vorgegangen sind, droht weiterhin akute Gefahr für alle betroffenen Unternehmen, Behörden und Privatanwender, deren Systeme kompromittiert sind.
Die Emotet-Angriffsstrategie
Erstmals trat der Trojaner im Jahre 2014 in der Öffentlichkeit auf. Damals erbeuteten Cyberkriminelle Onlinebanking-Zugangsdaten von deutschen und österreichischen Kunden. Das Schadprogramm ermöglichte es ihnen, sensible Informationen für den Online-Zugang abzufangen. Emotet besaß außerdem eine Funktion für das Nachladen von weiteren schädlichen Programmen. So war es nicht der eigentliche Trojaner selbst, der die Verschlüsselung von Daten vornahm, sondern weitere Ransomware. Diese luden die Cyberkriminellen über die geschaffene Verbindung zum infiltrierten Rechner nach. Genau hier liegt die Gefahr, die die Emotet-Welle noch immer zu einem Risiko macht. Auch wenn die Polizeibehörden die Kontrolle über die Emotet-Infrastruktur gewonnen haben, sind bereits kompromittierte Systeme keinesfalls sicher.
Zur Strategie der Cyberkriminellen gehörte seinerzeit auch das Ziel, die gewonnenen Zugänge zu den Netzwerken an weitere cyberkriminelle Gruppen zu verkaufen. So haben die Betreiber der Emotet-Infrastruktur die Zugänge, die sie durch ihren Trojaner erlangt hatten, über das Darknet angeboten, worüber weitere Cyberkriminelle die Zugangsinformationen erwarben. Ihr Ziel: diese Log-in Daten für ihre eigenen Aktivitäten zu nutzen. So gelangte weitere Schadsoftware auf die infizierten Systeme. Dazu gehören unter anderem Onlinebanking-Trojaner wie Qakbot oder auch Trickbot, ein Trojaner, der Login-Daten sowie Zugangsdaten zum Onlinebanking stiehlt. Die Hacker hinter diesen Trojanern gehören anderen kriminellen Strukturen an, sodass ein Zugriff auf diese Aktivitäten seitens der Polizei aktuell nicht möglich ist. Aus diesem Grund sind die infiltrierten Netzwerke nach wie vor in Gefahr.
Aktuelle Gefahr durch hochspezialisierte Spear-Phishing-Angriffen
Das Schadprogramm gehört zur Klasse der sogenannten Makroviren. Die Emotet-Schadsoftware verbreitete sich primär über Anhänge in E-Mails. Emotet wird derzeit weiterhin über groß angelegte Spam-Kampagnen verteilt und stellt daher eine akute Bedrohung für Unternehmen, Behörden und Privatanwender dar. Das BSI hat heute im Rahmen seines gesetzlichen Auftrags KRITIS-Betreiber, staatliche Einrichtungen in Bund und Ländern sowie Teilnehmer der Allianz für Cyber-Sicherheit erneut vor Emotet gewarnt und effektive umfassende Schutzmaßnahmen empfohlen. Cyberkriminellen bedienen sich dem Outlook-Harvesting, wordurch Emotet in der Lage ist, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms in nachfolgenden Spam-Kampagnen, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen. So erhöht sich die Chance, dass ein Empfänger die Nachricht sowie den Anhang öffnet, wenn der Absender scheinbar eine bekannte und vertrauenswürdige Person ist. Bei den Anhängen handelt es sich meist um Word-Dokumente, die über Makros infiziert sind. Sobald ein Nutzer diese Datei öffnet und die Nutzung von Makros nicht untersagt ist, aktiviert sich die Schadsoftware.
Das Ausmaß der Verbreitung ist aktuell von den Polizeibehörden nicht in vollem Umfang abschätzbar. Bekannt ist inzwischen, dass vor allem Unternehmen und öffentliche Einrichtungen im Fokus der Cyberkriminellen standen. Schätzungen zufolge sind allein in Deutschland rund 160.000 Netzwerke betroffen, die Dunkelziffer dürfte jedoch noch bei weitem höher liegen.
Die Reaktion der Polizeibehörden
Das weitere Vorgehen stellt für die Polizeibehörden eine echte Herausforderung dar. Vor allem stößt die Polizei an die Grenzen der Rechtsgrundlagen. Es besteht zwar die technische Möglichkeit, die beschlagnahmten Server samt den Kommunikationsverbindungen zu den Opern dafür zu nutzen, um die Infrastruktur zu deaktivieren. Jedoch stellt dies einen Eingriff in Systeme von Dritten dar, was grundsätzlich nicht erlaubt ist.
Aktuell geht das BKA, das die Ermittlungen leitet, aus diesem Grund einen anderen Weg. Die Ermittler haben über die Update-Funktion das Schadprogramm so verändert, dass es nur noch mit den Servern der Polizei kommuniziert. Dieser vergleichsweise kleine Eingriff betrifft nur die Konfiguration und berührt so nicht die Daten der betroffenen Organisationen und Unternehmen. Über diesen Weg erhalten die Ermittler auch die IP-Adressen der betroffenen Systeme, da diese nun mit der Polizei kommunizieren. Das BKA leitet die Informationen über die IP-Adressen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter. Das BSI wiederum wendet sich an die Provider, die diese IP-Adressen betreiben. Diese erhalten dann die Information, dass der Kunde, zu dem die betroffene IP-Adresse gehört, von der Emotet-Schadsoftware betroffen ist. Der Provider informiert im Anschluss die Kunden über diesen Umstand und leitet Hinweise zum Handlungsbedarf weiter.
Als weiteren Schritt haben die Cyberspezialisten des BKA die Funktion der Emotet-Schadsoftware verändert. Die Ermittler haben dem Code des Schadprogramms eine Zeile für die selbstständige Deinstallation hinzugefügt. Somit entfernt sich die Software zum voreingestellten Datum von den befallenen Systemen selbst. Laut Recherchen findet dies voraussichtlich am 25. April statt. Über die Update-Routine des beschlagnahmten Netzwerks wird diese Veränderung bei allen betroffenen Rechnern, zu denen eine Verbindung aufgebaut wurde, ausgerollt.
Welche Gefahren drohen infizierten Netzwerken jetzt noch?
Cyberbedrohungen gehen vor allem von den nachgeladenen Viren und Trojanern aus. Hier ist nur schwer einschätzbar, um welche Arten von Schadprogrammen es sich handelt. Deshalb sind grundsätzlich alle mit dem Emotet-Trojaner befallenen Netzwerk als kompromittiert und gefährdet anzusehen.
Welche konkreten Gefahren im Einzelfall drohen, ist ebenfalls schwer abzuschätzen. Bekannt ist, dass Kriminelle über das Emotet-Netzwerk ganze Malware-Cocktails ausgebracht haben. Diese Schadprogramme fangen Login-Daten für das Online-Banking ab oder sind in der Lage, weite Teile der digitalen Daten in Netzwerken zu verschlüsseln. All diese Trojaner sind nach wie vor aktiv und stellen eine Bedrohung für die Cyber Security von Organisationen und Unternehmen dar.
Kriminelle, die ursprünglich nichts mit dem Emotet-Trojaner zu tun haben, steuern diese Schadprogramme. Mit Cyberangriffen ist somit jederzeit zu rechnen. Das Schadpotenzial für verheerende Attacken ist bei Einsatz solch eines polymorphen Virus immens. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Einmal infizierte Systeme sind daher grundsätzlich als vollständig kompromittiert zu betrachten und müssen neu aufgesetzt werden. In mehreren dem BSI bekannten Fällen hatte dies Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke vollständig neu aufgebaut werden mussten. (Quelle: www.itseccity.de)
Infizierte Systeme erkennen und Gegenmaßnahmen einleiten
Wichtig ist, in diesem Moment weitere Gefahrensituationen einzudämmen. Wer von seinem Internet-Provider kontaktiert wird, und die Information vom BSI erhält, dass das eigene Netzwerk betroffen ist, reagiert möglichst schnell.
Die Nachricht über die Internet-Provider sorgt jedoch nicht für absolute Sicherheit. Selbst wer nicht benachrichtigt wird, kann durchaus betroffen sein. So ist nicht mit 100%iger Sicherheit davon auszugehen, dass vom BSI alle IP-Adressen ausgelesenen werden und dass die Provider dann ausnahmslos alle betroffenen Unternehmen lückenlos informieren. Experten der IT-Sicherheitsbranche schätzen, dass in vergleichbaren Fällen etwa die Hälfte der Unternehmen tätig wird und eine Reinigung des eigenen Netzwerks vornimmt. Dementsprechend ist eine grundsätzliche Kontrolle des Netzwerks bei einem Verdacht ebenso angebracht wie eine Überprüfung der eigenen Cyber Security.
Wer als Opfer identifiziert ist, hat kaum eine andere Wahl, als Spezialisten hinzuzuziehen. Sofern nur irgendwie möglich, sind die Systeme im Netzwerk zu isolieren. Dies beinhaltet primär eine Trennung der aktiven Internetverbindung. Denn über diese Schnittstelle zur Außenwelt steuern die Cyberkriminellen die Schadprogramme, die im Netzwerk verteilt sind, beziehungsweise dringen unentdeckt tiefer in die Strukturen vor, um ihren Zugriff zu vergrößern. Wird die Netzwerkverbindung physisch unterbunden, sind keine Steuerungen mehr von außen möglich.
Klassische Virenscanner sind meist nicht in der Lage, den Emotet-Trojaner zu identifizieren. Deshalb ist ein einfacher Virenscan nicht ausreichend, um zu beurteilen, ob das eigene Netzwerk kompromittiert ist. Bei einem Verdacht oder sogar der Bestätigung einer Emotet-Infektion ist es wichtig, weder Konten mit Administratorenrechten noch Onlinebanking-Zugänge zu nutzen. Eventuell haben die Cyberkriminellen das System mit Viren infiziert, die Zugangsdaten abfangen. Um eine komplette Neuinstallation von Betriebssystem und Software geht bei einer Emotet-Infektion kein Weg vorbei. Der Trojaner kompromittiert nämlich auch Systemdateien, so dass nur ein kompletter Reset eine Beseitigung gewährleistet. Eine Wiederherstellung der Daten kann über ein Back-up ermöglicht werden - sofern das Back-up nicht ebenfalls kompromittiert ist. Dies ist nur dann möglich, wenn ein lückenloser Schreibschutz bestand oder das Back-up-System während des Emotet-Befalls nicht mit dem infizierten Netzwerk verbunden war.
Fazit:
Generell ist es wichtig, mit einer umfassenden IT-Sicherheitsstrategie für Fälle wie Emotet-Cyberbedrohungen vorbereitet zu sein.
Experten der Sicherheitsbranche weisen bereits jetzt darauf hin, dass die nächste Cyberbedrohung in der Art des Emotet-Trojaners bereits in den Startlöchern steht. Aus diesem Grund gilt, dass Prävention die beste Verteidigung ist. Hier sind es besonders die proaktiven Maßnahmen in der Netzwerksicherheit, die eine Chance haben, ausgeklügelte Cyberangriffe wie in dem aktuellen Fall zu verhindern. Versteckte Kommunikationen mit einem Command and Control (C&C) Server entdecken nur aktive Tools für die Netzwerksicherheit, wie beispielsweise ein Threat Hunting- und Incident Response-Service. Auf diesem Weg besteht die Möglichkeit, eine Infiltration des eigenen Netzwerks schnellstmöglich zu entdecken und darauf zu reagieren, bevor die Cyberkriminellen die Zeit haben, weite Teile der IT-Infrastruktur zu kompromittieren oder große Schäden anzurichten.
Zu den weiteren Vorsichtsmaßnahmen, um Infektionen mit Trojanern dieser Art zu verhindern, gehören Verschärfungen beim eigenen IT-Sicherheitskonzept. Dazu gehört das standardmäßige Deaktivieren von Makros in den Office-Produkten von Microsoft. Alternativ ist es sinnvoll, Mail-Anhänge mit LibreOffice zu öffnen, da hier Makros nicht funktionieren. Über Gruppenrichtlinien in Active Directory ist es außerdem möglich, das Ausführen von Makros komplett zu untersagen. Auch eine Einschränkung der Nutzer-Accounts ist hilfreich. Eine Herabsetzung der Benutzerrechte im Betriebssystem, so dass keine Veränderungen an den Systemdateien möglich sind, ist zweckmäßig, wenn die Mitarbeiter im Internet unterwegs oder mit der Bearbeitung des Mailverkehrs betraut sind. Da die Trojaner, die über das Emotet-Netzwerk nachgeladen wurden, auch Passwörter aus Programmen wie Firefox, Outlook oder Thunderbird auslesen, ist der Einsatz eines externen Passwortmanagers angebracht. Zu guter Letzt bleibt der übliche Hinweis, möglichst sichere Passwörter zu verwenden, da die Angreifer sonst auch die Möglichkeit haben, Zugangskonten via Brute-Force-Methode zu knacken.
Wie schützen Sie sich vor polymorphen Viren?
Kontaktieren Sie uns - unsere IT Security Experten beraten Sie gerne!