Emotet

Emotet
NameEmotet
Bekannt seit2014
VirustypMakrovirus
WirtsdateienMS Office-Dokumente
Stealthja
Speicherresidentja
SystemWindows
ProgrammierspracheC++ Makro
InfoInstalliert weitere Malware auf
infizierten Systemen

Emotet ist eine Familie von Computer-Schadprogrammen für Windows-Systeme in Form von Makroviren, welche per E-Mail versendet werden. Die Infektion mit Trojanern erfolgt mittels sehr echt aussehender E-Mails. Öffnet ein Empfänger die Anlage bzw. den Anhang der E-Mail, werden Module mit Schadfunktionen nachgeladen und ausgeführt.[1]

Opfer der Schadsoftware sind vor allem Behörden und Unternehmen. Ziel der Angriffe ist es, die gesamte IT des Opfers lahm zu legen oder Lösegeldzahlungen zu erpressen. Im Januar 2021 gelang es Europol, die Ransomware für einige Monate unschädlich zu machen.[2][3]

Geschichte

Emotet wurde erstmals im Juni 2014 durch Trend Micro identifiziert. Betroffen waren Kunden deutscher und österreichischer Banken, deren Zugangsdaten über einen Man-in-the-Browser-Angriff abgefangen wurden. Seitdem wurden mehrere Evolutionsstufen des Trojaners entdeckt, die sich nach und nach wellenartig weltweit verbreiteten.[4] Seit Ende 2018 war Emotet auch in der Lage, Inhalte aus E-Mails auszulesen und zu verwenden, was die Gefährlichkeit noch einmal erhöhte und dazu führte, dass das BSI explizit eine Warnung vor diesem Schadprogramm veröffentlichte. Die betroffenen Empfänger erhielten nun E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie zuvor in Kontakt standen. Dazu waren Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur zu früheren E-Mails stimmig und verleiteten auch sensibilisierte Nutzer hierdurch zum Öffnen des schädlichen Dateianhangs oder des in der Nachricht enthaltenen Links.[5] In Einzelfällen sei es bei den Betroffenen dadurch zu Ausfällen der kompletten IT-Infrastruktur und zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich zogen.[6] Es kam zu großen Produktionsausfällen, und es mussten ganze Unternehmensnetzwerke nach einer Infektion mit Emotet neu aufgebaut werden.[7] CERT-Bund und Polizei-Behörden berichteten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden. Betroffen waren unter anderem auch die Heise Gruppe[8][9] und das Berliner Kammergericht.[10] Dem Kammergericht wurde in einem Gutachten zu einem „kompletten Neuaufbau der IT-Infrastruktur“ geraten.[11]

Im August 2020 wurde der BwFuhrparkService, der teilweise auch den Fahrdienst des Deutschen Bundestages stellt, Ziel eines mit Emotet ausgeführten Hackerangriffs.[12]

Am 26. Januar 2021 stürmten maskierte Spezialkräfte der Polizei ein heruntergekommenes Wohnhaus in der Ukraine. Sie fanden dort zahlreiche Computer, über 50 Goldbarren, bündelweise Bargeld und zwei mutmaßliche Hacker.[13]

Im Januar 2021 gelang es Europol unter Leitung von niederländischen Ermittlern der Politie und deutschen Ermittlern des Bundeskriminalamtes, die Infrastruktur der Schadsoftware zu übernehmen und sie anschließend zu zerschlagen.[14]

Seit Ende Januar 2022 beobachten Sicherheitsforscher wieder eine Zunahme von Spam-Mails aus dem Emotet-Botnetz.[15] Während im Februar 2022 nur etwa 3.000 Mails beobachtet wurden, waren es im März bereits 30.000.[16]

Eigenschaften und Funktion

Emotet basiert auf Methoden, die von APT-Angriffen bekannt sind, welche für den automatisierten und massenhaften Einsatz adaptiert und automatisiert wurden.[6] Die Verbreitung erfolgt vor allem durch sogenanntes „Outlook-Harvesting“, das heißt durch Erzeugen authentisch wirkender Spam-Mails anhand ausgelesener E-Mail-Inhalte und Kontaktdaten bereits betroffener Nutzer. Die so erzeugten E-Mails wirken besonders authentisch und persönlich und heben sich so von gewöhnlichen Spam-Mails ab. Meist wird Emotet durch infizierte E-Mail-Anhänge im Word-Format auf die Rechner der Opfer gebracht.[17] Durch verschiedene Botschaften wird versucht, den Nutzer zum Aktivieren der aktiven Inhalte zu bewegen, damit die Infektion erfolgen kann.[17] Emotet ist zudem in der Lage, weitere Schadsoftware nachzuladen, über die dann etwa das Auslesen von Zugangsdaten oder ein Fernzugriff ermöglicht wird. Auch kann die nachgeladene Software verschiedene andere Lücken wie die SMB-Schwachstelle EternalBlue nutzen, um sich weiter zu verbreiten.[5][9][18][7]

Gegenmaßnahmen

Vor der Infektion

Grundvoraussetzung für alle Schutzmaßnahmen ist das Einspielen aktueller Sicherheits-Updates[8] und das Vorhandensein aktueller Backups, die physisch vom Netzwerk getrennt sind.[18] Als direkte Gegenmaßnahme kann die Ausführung von Makros per Gruppenrichtlinie im Active Directory komplett deaktiviert werden. Sollte das nicht möglich sein, so kann zumindest nur die Ausführung signierter Makros per Gruppenrichtlinie zugelassen werden.[17] Word-Anhänge können zur Prüfung auch z. B. in LibreOffice geöffnet werden, denn dort funktionieren die Makros nicht.[8] Da Passwörter aus Firefox und Outlook bzw. Thunderbird ausgelesen werden, wird die Verwendung eines Passwortmanagers empfohlen. Arbeiten mit reduzierten Benutzerrechten (keine Adminrechte) vor allem beim Surfen im Internet und beim Öffnen von E-Mail Anhängen ist sinnvoll, um zu verhindern, dass eine Infektion der Systemdateien erfolgt. Für administrative Konten werden starke Passwörter empfohlen, da Emotet diese mit Brute-Force-Methoden zu ermitteln versucht.[17]

Emotet verwendet eine Reihe von Command-and-Control-Servern, zu denen sich infizierte Clients verbinden wollen. Das Sicherheitsteam Cryptolaemus[19] bietet tägliche Sicherheitsberichte mit einer Liste bekannter IP-Adressen und/oder DNS-Namen von ebendiesen Servern. Durch eine Firewall mit Monitoring können etwaige Verbindungsversuche ermittelt werden.

Nach der Infektion

Emotet verwendet verschiedene Techniken, um sich vor Antivirensoftware zu verstecken, und ist deshalb schwer von einem infizierten System zu entfernen. Die wichtigste Maßnahme nach einer erkannten Infektion ist, dass das befallene System möglichst schnell isoliert wird, d. h. vom restlichen Unternehmensnetzwerk und vom Internet getrennt wird, da Emotet versucht, andere Rechner im Netzwerk zu infizieren.[20] Auch ist von einer Verwendung eines Kontos mit administrativen Rechten auf einem infizierten System abzusehen, um weiteren Schaden zu begrenzen. Da sich der angerichtete Schaden auch auf Systemdateien erstreckt, sollte das System neu installiert werden, um eine restlose Beseitigung zu garantieren.[1][5] Backups können dann zur Wiederherstellung verwendet werden, wenn sie nachweislich nicht infiziert sind, d. h. während des Befalls durch Emotet keine physische Verbindung zum Netzwerk hatten oder ständig schreibgeschützt waren.[18]

Weblinks

Einzelnachweise

  1. a b Alert (TA18-201A) – Emotet Malware. US-CERT, 20. Juli 2018, abgerufen am 6. Juni 2019.
  2. World’s most dangerous malware EMOTET disrupted through global action. Abgerufen am 27. Januar 2021 (englisch).
  3. Emotet wieder im Umlauf Die gefährlichste Schadsoftware der Welt ist zurück, vom 16. November 2021, geladen am 16. November 2021
  4. Paweł Srokosz: Analysis of Emotet v4. CERT Polska, 24. Mai 2017, abgerufen am 7. Juni 2019.
  5. a b c Aktuelle Information zur Schadsoftware Emotet. In: BSI für Bürger. BSI, abgerufen am 8. Juni 2019.
  6. a b Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen (Pressemitteilung). (Nicht mehr online verfügbar.) BSI, 5. Dezember 2018, archiviert vom Original am 8. Juni 2019; abgerufen am 8. Juni 2019.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bsi.bund.de
  7. a b Warnung vor Schadsoftware: "Emotet" gefährdet ganze Netzwerke. Tagesschau (ARD), 5. Dezember 2018, abgerufen am 7. Juni 2019.
  8. a b c Jürgen Schmidt: Achtung Dynamit-Phishing: Gefährliche Trojaner-Welle Emotet legt ganze Firmen lahm. In: heise Online. Heise online, 5. Dezember 2018, abgerufen am 8. Juni 2019.
  9. a b Jürgen Schmidt: Emotet bei Heise. In: heise online. 6. Juni 2019, abgerufen am 6. Juni 2019.
  10. Markus Böhm: Trojaner-Angriff auf Berliner Kammergericht. In: Spiegel Online. 4. Oktober 2019, abgerufen am 10. Oktober 2019.
  11. Trojaner-Attacke auf Berliner Kammergericht folgenreicher als vermutet. In: Spiegel Online. 27. Januar 2020, abgerufen am 27. Januar 2020.
  12. DER SPIEGEL: Chauffeurdienst des Bundestags wurde mit Erpressersoftware angegriffen – DER SPIEGEL – Netzwelt. Abgerufen am 20. August 2020.
  13. FAZ.net: Die Hacker-Jäger
  14. Bundeskriminalamt: Weltweit gefährlichste Schadsoftware unschädlich gemacht. In: tagesschau.de. 27. Januar 2021, abgerufen am 27. Januar 2021.
  15. Dirk Knop: Emotet-Botnet verstärkt Aktivitäten. In: heise online. Heise Medien GmbH & Co. KG, 27. Januar 2022, abgerufen am 9. Juli 2022.
  16. Dennis Schirrmacher: Emotet war kaputt, infiziert jetzt aber wieder vermehrt Windows-Computer. In: heise online. Heise Medien GmbH & Co. KG, 26. April 2022, abgerufen am 9. Juli 2022.
  17. a b c d Hauke Gierow: Emotet: G DATA erklärt die Allzweckwaffe des Cybercrime. In: G DATA Blog. G Data Antivirus, 23. Januar 2019, abgerufen am 8. Juni 2019.
  18. a b c Informationspool – Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen. (Nicht mehr online verfügbar.) In: allianz-fuer-cybersicherheit.de. BSI, archiviert vom Original am 14. Dezember 2019; abgerufen am 11. Juni 2019.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.allianz-fuer-cybersicherheit.de
  19. Cryptolaemus Pastedump. Abgerufen am 7. Januar 2020.
  20. Trojan.Emotet. In: Blog. Malwarebytes Labs, abgerufen am 9. Juni 2019 (englisch).