Emotet ist zurück – welcher Handlungsbedarf jetzt nötig ist!
von Svenja Koch
Die Rückkehr der Emotet Malware
Im November 2021 hat sich die Malware zurückgemeldet. Analysen von IT-Sicherheitsexperten haben ergeben, dass Emotet in den letzten Wochen immer häufiger als Schadsoftware auf Systemen auftaucht. Noch ist die Malware vergleichsweise selten zu finden. Vom Ausmaß der Verbreitung wie in den Jahre 2018 bis 2020 ist die aktuelle Lage jedoch noch weit entfernt. Eine Analyse der gefundenen Version zeigt außerdem, dass die Malware weiterentwickelt wurde. Der Quellcode weist Ähnlichkeiten mit der originalen Version auf, sodass eine Zuordnung zur Emotet-Familie eindeutig ist. Jedoch hat die aktuelle Variante zusätzliche Fähigkeiten erhalten. Beispielsweise verschlüsselt die Malware den eigenen Datenverkehr zwar weiterhin mit HTTPS, jedoch kommt dafür jetzt ein selbst signiertes Zertifikat zum Einsatz.
Außerdem stecken andere Kriminelle hinter der Malware. Dies lässt sich an dem Netzwerk erkennen, mit dem die Schafsoftware kommuniziert. Für den Betrieb der Emotet Malware ist ein Netzwerk notwendig. Zu diesem nimmt die Malware nach erfolgreicher Infizierung eines Systems Kontakt auf und lädt weitere Schadsoftware, darunter Verschlüsselungstrojaner, nach. Das ursprüngliche Netzwerk ist nicht mehr vorhanden, denn die Ermittlungsbehörden haben im Januar 2021 die Kontrolle über dieses übernommen und es deaktiviert. Aktuelle Analysen zeigen, dass die neue Emotet-Version das Netzwerk der Trickbot-Malware verwendet.
Wie arbeitet Emotet?
Emotet ist als Makrovirus in Dokumente aus der Microsoft-Office-Familie eingeschleust. Wer ein solches präpariertes Dokument öffnet, infiziert das System mit der Malware. Dabei arbeitet diese als klassischer Loader, lädt also direkt weitere Schadsoftware auf das infizierte System nach. Dieses Verhalten stellt die wahre Gefahr bei einer Infizierung dar. Auf diesem Weg gelangen Verschlüsselungstrojaner und andere Schadprogramme auf die kompromittierten Rechner oder gewähren den Angreifern einen Fernzugriff und somit die Kontrolle über das System.
Die Angreifer haben es unter anderem auf Zugangsdaten zum Onlinebanking abgesehen oder verschlüsseln die Festplatteninhalte. Anschließend folgen Aufforderungen zur Zahlung einer hohen Summe via Bitcoin. Ansonsten löscht der Verschlüsselungstrojaner die gesamten Daten auf der Festplatte, drohen die Erpresser. Ebenfalls ist die Malware in der Lage, Passwörter und Zugangsdaten zu stehlen. Bekannt ist, dass Keylogger, die in Verbindung mit dem Emotet-Netzwerk stehen, Zugangsdaten zum Onlinebanking sowie in Browsern gespeicherte Passwörter stehlen.
Die Emotet Malware gelangt über E-Mails auf die Zielsysteme. Diese Mails geben sich als Nachrichten von bekannten Absendern aus und überlisten so die Empfänger. Gefährlich ist die Malware vor allem aufgrund der sehr glaubwürdig gefälschten E-Mails. Dies liegt auch an der speziellen Funktion, mit der die Malware ausgestattet ist, um sich selbst weiter auszubreiten. Durch das „Outlook-Harvesting“ liest die Schadsoftware die Adressbücher auf dem infizierten System aus und sucht nach E-Mail-Adressen. An diese verschickt sich die Schadsoftware dann selbstständig. Somit erhalten potenzielle Opfer Mails von bekannten Absendern, denen sie vertrauen. Dies erhöht die Gefahr, dass das Opfer das angehängte Office-Dokument, in dem Emotet versteckt ist, öffnet.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Wie gefährlich ist die Emotet Malware aktuell?
Einige IT-Sicherheitsexperten bezeichnen Emotet als die gefährlichste Malware der Welt. Die Schäden, die diese Schadsoftware in den letzten Jahren angerichtet hat, sind tatsächlich enorm. Gleichzeitig ist die Malware aktuell noch vergleichsweise selten anzutreffen. Das ändert jedoch nichts daran, dass von der Emotet Malware eine hohe Gefahr ausgeht. Dies betrifft laut IT-Experten besonders Nutzer mit Windows-Betriebssystemen. Da die Malware explizit Schwächen in Microsoft Office ausnutzt, sind Anwender, die Systeme mit Linux, macOS oder Android nutzen, nach aktuellen Erkenntnisstand sicher.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine Warnung zur aktuellen Lage herausgegeben. Hier weist das BSI auf die Gefahr einer neuen Emotet-Welle hin. Auch glaubt das Bundesamt daran, dass die Kriminellen hinter der Malware demnächst weitere Angriffsvektoren nutzen. So gibt es bereits die ersten Funde von Emotet in gepackten ZIP-Archiven und auch E-Mails mit Links, die auf präparierte Seiten führen, liegen im Bereich der Möglichkeit für die Verbreitung der Malware.
Was Emotet so gefährlich macht, ist die Unberechenbarkeit. Durch das Nachladen von Malware lässt sich nicht vorhersagen, welche Schadsoftware die Angreifer einsetzen. Offensichtliche Angriffe mit Verschlüsselungstrojanern gehören ebenso zu den potenziellen Auswirkungen wie Keylogger, die unbemerkt Passwörter und Zugangsdaten stehlen.
Welche Methoden bieten Schutz vor der Emotet Malware?
Ein effektiver Grundschutz lässt sich bereits durch allgemein bekannte und gängige IT Security Maßnahmen erreichen. Dazu gehört es, das Betriebssystem sowie alle Anwendungen auf dem Computer auf einem aktuellen Stand zu halten. Wichtig sind vor allem die Sicherheitsupdates des Betriebssystems sowie die Aktualität des Browsers und der Office-Plattform. Ebenso ist es wichtig, einen aktuellen Virenscanner einzusetzen, der einen Echtzeitschutz bietet. Essenziell ist auch ein gut durchdachter Backup-Plan, besonders für Unternehmen. Eine doppelte Datensicherung, wobei zumindest ein Backup physikalisch vom Netzwerk getrennt ist, schützt die eigenen Daten vor einem Verlust durch eine Verschlüsselung.
Diese Maßnahmen bieten jedoch keine absolute Sicherheit vor der Emotet Malware. In der Vergangenheit hat sich gezeigt, dass nicht jeder Virenscanner den Schadcode erkennt. Auch ein aktuelles Betriebssystem ist kein Schutz vor einer Infektion. Deshalb ist jeder Nutzer selbst gefragt, beim Öffnen von E-Mails mit absoluter Vorsicht zu agieren. Vor allem Anhänge, die in den Formaten .xlsm (Microsoft Excel) und .docx (Microsoft Word) eingehen, sind gefährlich. Selbst wenn der Absender der Mail bekannt ist, ist vor dem Öffnen zu prüfen, ob der Anhang tatsächlich von dieser Person oder Organisation versendet wurde. Aktuell sind es vor allem diese beiden Dateiformate, in denen sich die Emotet Malware versteckt.
Gefährlich ist die Makro-Lücke in Microsoft Office, die die Schadsoftware ausnutzt. In einem Dokument vorhandene Makros führt Office automatisch nach dem Öffnen der Datei aus. Auf diese Weise wird auch der Schadcode ausgeführt. Ein Schutz davor bietet die Deaktivierung von Makros. Dies ist in den Optionen von Word von Excel möglich. Auf diese Weise verhindern Nutzer die Ausführung von Schadcode, der in Makros von Office-Dokumenten versteckt ist.
Eine weitere Option ist auch, auf den Einsatz von Microsoft Office zu verzichten, wenn dies möglich ist, beziehungsweise verdächtige Dokumente zunächst mit einer anderen Software zu öffnen. Mit LibreOffice, einer Open-Source-Alternative, lassen sich Word- und Excel-Dokumente ebenfalls öffnen und bearbeiten. Auf diese Weise lässt sich kontrollieren, ob der Inhalt tatsächlich relevant ist oder ob die Daten von einem Kriminellen stammt.
Eine weitere Schutzmaßnahme ist der Einsatz von Accounts, die keine Administratorrechte besitzen. Im alltäglichen Gebrauch ist es nicht notwendig, den Computer mit vollen Rechten zu nutzen. Nur für die Installation von Software sind beispielsweise Administratorrechte notwendig. Dies verhindert, dass sich die Schadsoftware installiert.
Sinnvoll ist es weiterhin, Passwörter nicht in Browsern und E-Mail-Programmen zu speichern. Anstelle dessen bietet sich der Einsatz eines zentralen Passwortmanagers an. Solche Programme bieten grundsätzlich mehr Sicherheit. Außerdem ist die Schadsoftware in der Lage, Passwörter aus Outlook, Firefox, Thunderbird sowie anderen Browsern und Personal Information Managern auszulesen. Dies lässt sich verhindern, indem Nutzer keine Passwörter in diesen Programmen speichern.
Für einen deutlichen besseren Schutz sorgen IT Security Services, die Aktivitäten im Netzwerk überwachen. Mit Lösungen, die das Netzwerk in Echtzeit nach unbefugten Aktivitäten durchsuchen, lassen sich Kontaktaufnahmen der Emotet Malware zu einem Command and Control-Server identifizieren und umgehend entsprechende Gegenmaßnahmen einleiten - bevor großer Schaden entsteht.
Was tun, wenn der Rechner mit Emotet infiziert ist?
Falls eine Infizierung mit der Emotet Malware bestätigt ist oder aber vermutet wird, ist der erste Schritt, das betreffende System vom Netzwerk zu trennen. Zudem ist es in diesem Zusammenhang wichtig, auf das Onlinebanking und ähnliche Dienste zu verzichten. Da Emotet in der Lage ist, Systemdateien des Betriebssystems zu verändern, ist ein infiziertes System nicht mehr sicher. Auch ein Virenscan oder der Einsatz von Anti Malware Software garantiert nicht die Wiederherstellung der Sicherheit. Aus diesem Grund ist eine Neuinstallation des Betriebssystems notwendig. Auch andere Dateien auf dem System sind als kompromittiert anzusehen. Deshalb ist es notwendig, auch diese wiederherzustellen, in der Regel über ein Backup. Wichtig ist, dass dieses Backup vor der Infektion erstellt wurde und danach entweder physikalisch vom kompromittierten System getrennt oder durch einen Schreibschutz geschützt war.
Fazit
Mit Emotet ist ein bekannter Name aus der Welt der Malware zurückgekehrt. Diese Schadsoftware ist dabei symbolisch für einen Trend, der seit einigen Jahren zu beobachten ist. Cyberkriminalität ist zu einer dauerhaften Bedrohung geworden, die Unternehmen, Behörden und Privatleute gleichermaßen betrifft. Dass die Emotet Malware ein hohes Gefahrenpotenzial mit sich bringt, verschärft die Situation weiter. Gerade die Verschlüsselungstrojaner, die auch mit Emotet in Verbindung stehen, sind es, die immer wieder in die Schlagzeilen geraten. So ist es kein Zufall, dass sich die Nachrichten über Unternehmen oder Organisationen häufen, deren Tätigkeit durch einen Verschlüsselungstrojaner abrupt zum Erliegen kommen. Wichtig ist, sich dieser ständigen Gefahrensituation bewusst zu sein. Das gilt für alle Anwender und Verantwortlichen, vom privaten Nutzer bis zum Entscheidungsträger in der IT-Abteilung. Mit den richtigen Vorkehrungen und dem Einsatz entsprechender Sicherheitstechnik lässt sich das eigene Netzwerk effektiv vor Emotet und anderer Malware schützen. Wie in den meisten Situationen gilt auch hier, dass Prävention die stärkste Waffe im Kampf gegen Cyberangriffe ist.