Trojaner – Emotet wieder vor der Tür

Achtung, bitte seien Sie vorsichtig mit jeder Art von Email-Anhängen

Wir als bbg bitbase group hören ständig von Kunden oder Ihrem Umfeld, dass wieder ein gefährliches Schadprogramm zugeschlagen hat. Aber manche üble Genossen, wie Emotet machen regelmäßig „Ferien“. Die dreimonatige Pause ist jetzt vorbei.

Seit Anfang März versendet die Bande Emails mit unverschlüsselten ZIP-Dateien („*.zip“) im Anhang. Wenn Sie diese Anhänge anklicken oder anders öffnen; starten Microsoft-OneNote-Makros und laden die gefährliche „Emotet .dll“, die dann beliebigen weiteren Schadcode nachladen kann.

 

Die Tarnung – Realistische Antworten auf echte Emails

Emotet hackt den Emailverkehr Ihrer Firma oder Ihrer Kontakte, sucht sich echte E-Post heraus und antwortet darauf. Das heißt, Sie bekommen die Antwort auf eine Rechnung, die Sie tatsächlich versendet haben oder scheinbar antwortet die „Agentur für Arbeit“ auf eine Anfrage Ihrer Personalabteilung. Sie können von solchen Angreifern auch eine Email vom Kopierer erhalten, dass jemand etwas für Sie eingescannt hat.

 

Der Trick – Erlaubnis für Makros.

Wenn Sie die Datei öffnen, wird eine Microsoft Office-Datei, etwa OneNote gestartet. Das sieht so aus, wie es schon tausend Mal ausgesehen hat: Office öffnet ein Fenster und fragt, ob das ein vertrauenswürdiges Dokument ist oder dessen Makro ausgeführt werden soll (z.B. „Inhalte aktivieren”).

Eine Grafik dazu finden Sie am Ende dieses Beitrags (Quelle: Emotet adopts Microsoft OneNote attachments).

Weitere englische Beispiele sehen Sie beim Anbieter Cofense, der über die neue Angriffsserie berichtet hat.

 

Vorsichtsmaßnahmen

Ihr Office-Programm sollte unbedingt so eingestellt sein, dass es bei Starten von Makros um Ihre Erlaubnis fragt. Bitte schalten Sie diese Funktion nicht aus!

Wenn Sie ein Dokument öffnen, dass Sie per Email erhalten haben, sollten Sie sich jedes Mal fragen:

  • Habe ich diese Datei wirklich erwartet?

  • Kenne ich dieses Dateiformat?
    Habe ich es erwartet?
    Benutze ich OneNote oder unverschlüsselte ZIP-Dateien sonst auch?

  • Gibt es einen sinnvollen Grund, dass dieses Datei Makros verwendet?
    Normale Dateien brauchen das nicht.

  • Macht die Email mir Stress, soll ich schnell handeln?

Falls Sie misstrauisch werden, sprechen Sie mit dem Absender persönlich und fragen ihn, warum er so seltsame Dateien schickt. Sie können die Email auch an Ihre IT-Abteilung zur Überprüfung schicken.

Ihre Infrastruktur schützen Sie durch Installation der neuesten Aktualisierungen aller Programme („Updates“), eine Firewall sowie ein Antivirusprogramm. Sie sollten Ihre Nutzdaten in physisch getrennten Speichern sichern (Backups). Prüfen Sie, ob Sie per Windows-Gruppenrichtlinie generell alle Makros deaktivieren möchten oder wenigstens nur signierte ausführen. Speichern Sie keine Passwörter in Browsern wie Firefox oder Email-Programmen, wie Outlook oder Thunderbird, sondern in einem eigenständigen Passwortmanager. Arbeiten Sie nie in Windows mit Administratorrechten an regulärer Arbeit und schützen Sie Administratorkonten mit besonders langen Passwörtern, um diese vor Versuchen durch Ausprobieren mit „roher Gewalt“ („Brute-Force“) zu schützen.

 

Ziel und Schaden

Emotet und ähnliche Schadsoftware spioniert Sie oder Ihre Kunden aus, verschlüsselt ggf. Ihre Dateien und erpresst Sie dann oder verkauft Ihre Daten. In jedem Fall wird Ihre Firma lahm gelegt oder wird für schlechten Datenschutz bekannt. Die Aufsichtsbehörde wird auf Sie aufmerksam und kann ein Bußgeldverfahren einleiten. Die Betroffenen Personen können Schadenersatz fordern, wenn schlechter Datenschutz, geringe Informationssicherheit mitschuld waren.

 

Erste Hilfe

Emotet versteckt sich vor Antivirenprogrammen. Daher muss ein befallenes System zuerst von anderen Systemen und dann vom Netz getrennt werden. Auf einem infizieren System sollte kein Administrator-Konto mehr verwendet werden. Das System sollte komplett neu aufgesetzt werden. Sicherheitskopien sollten vor dem Rückspielen auf Verseuchung überprüft werden.

Bitte kommunizieren Sie aktiv mit Ihren Geschäftspartnern und vergessen Sie die Meldung bei der Datenschutz-Aufsichtsbehörde (72 Stunden!) und der Polizei nicht.

 

Zur Geschichte

Die Gruppe Emotet ist seit 2014 bekannt für ihre Malware. Zuerst infizierte sie Banken über gefälschte Netzseiten, seit 2018 kann der Trojaner auch Emails lesen. Anfang 2021 gelang Europol nach zweijähriger Vorbereitungszeit erstmalig ein großer Gegenschlag gegen ihre Infrastruktur und mehrere Hundert Server wurden gesichert.

Autor: Florian Thomas Hofmann, 31.03.2023

 

Zum Thema:

 

Find out more here.

I will gladly advise you and look forward to receiving your questions.

Head of Compliance

Markus Vatter