Emotet-Bande auf Raubzug – das müssen Sie wissen!
Bedrohungen, wie die Schadsoftware Emotet, profitieren immer wieder von schlecht geschützten PCs und zu arglosen Nutzern – besonders in Unternehmen. Das belegt auch die aktuelle Welle von Angriffen mit der Malware Emotet, über die viel in den Medien, wie etwa bei Spiegel online, zu lesen ist. Der Schädling dringt in den PC ein, lädt sich weitere Verstärkung nach, wie etwa den Banking-Trojaner Trickbot, oder versucht die komplette Kontrolle zu übernehmen. Die Labs von F-Secure und somit auch die Security-Software erkennen bereits viele Varianten von Trickbot und erfassen ständig neue Varianten. Das Lab berichtet immer wieder über Angriffswellen im Blog (Don’t Let An Auto-Elevating Bot Spoil Your Christmas).
Diese Tricks nutzt Emotet
Die Malware Emotet nutzt oft zur Verbreitung gefälschte E-Mails im Namen von Amazon oder Telekommunikationsanbietern wie etwa Vodafone oder Telekom. Entweder hängt an der E-Mail direkt eine Word-Datei im DOC-Format oder ein Link führt zu einer gefährlichen Datei. In der E-Mail wird der Anwender informiert, dass er unbedingt die aktiven Inhalte in der DOC-Datei (Makros) zulassen müsste. Genau das ist der Schlüssel, wie Emotet die meisten Anwender austrickst. Sobald ein System infiziert ist, dringt die Malware auch in vorhandene Mail-Programme ein. Mit persönlichen Informationen aus den E-Mails werden dann weitere fingierte Mails verschickt. Die Empfänger hatten meist erst vor kurzem Kontakt mit dem Absender und vertrauen dadurch dem Inhalt der E-Mail und die Infektion geht weiter.
Unternehmen im Visier
Besonders Firmen stehen im Fokus der Angreifer, da sich dort die meisten wertvollen Informationen abgreifen lassen, wie etwa Zugänge zur Buchhaltungs-Software. Emotet spioniert den angegriffenen PC aus, sammelt Informationen zu genutzter Software und Passwörter und überträgt alles. Oft auch die Passwörter von E-Mail-Clients wie Thunderbird oder Outlook. Zusätzlich versuchen Emotet und die nachgeladenen Schädlinge sich in einem vorhandenen Netzwerk zu verbreiten.
Zur Angriffsbande gehört neben Emotet und Trickbot auch immer öfter die Ransomware Ryuk (lesen Sie dazu F-Secure DeepGuard erkennt und verbannt Ransomware „Ryuk“). Sie verschlüsselt die von Emotet ausgekundschafteten Dateien, die als wichtig eingestuft wurden, löscht Wiederherstellungsdaten und Verläufe und verschlüsselt die Daten sehr effektiv. Um solchen Attacken begegnen zu können, hat F-Secure DeepGuard.
Das BSI warnt Unternehmen und Nutzer
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat bereits eine Warnseite zum Thema Emotet herausgegeben. Die Security-Software F-Secure schützt bereits vor unzähligen Varianten der Angriffsbande Emotet, Trickbot und Ryuk. Dennoch sollten Anwender und vor allem IT-Verantwortliche in Unternehmen ein paar Tipps befolgen:
- In Word sollte die automatische Ausführung von aktiven Inhalten, Makros oder Links untersagt sein
- Unternehmen können das automatische Ausführen per Gruppenrichtlinie unterbinden
- In Windows sollten standardmäßig die Dateiendungen angezeigt werden, damit sich Dateien, wie etwa Rechnung.exe, schneller identifizieren lassen
- Anwender sollten im Zweifelsfall immer den Administrator kontaktieren
- Unternehmen sollten eine Backup-Strategie mit weiteren externen Backups nutzen
Maximaler Schaden möglich durch Ransomware
Verantwortliche in Unternehmen sollten immer bedenken, dass sich zwar viele Daten von Malware bereinigen lassen. War allerdings eine Ransomware aktiv, dann hilft meist auch eine Bereinigung nichts, sondern nur das Entschlüsseln der Daten. F-Secure hat die Lösungen, um Unternehmen effektiv gegen Ransomware zu schützen: How to protect your business against Ransomware.
Kategorien