Emotet gilt als einer der gefährlichsten Trojaner unserer Zeit.
Nach der Verschnaufpause nach dem Jahreswechsel schlägt er nun wieder zu. Bereits am 17.07.2020 konnten an einem Tag mehr als 250.000 Mails entdeckt werden. Es ist anzunehmen , das dies erst das Aufwärmprogramm ist.
Es werden geziehlte Mails mit Dokumenten versendet, welche zum aktivieren der Makros aufrufen.
Nach der Aktivierung wird werden verschiedene Schadprogramme nachgeladen.
Ist Ihr Unternehmen erst einmal Inflitriert arbeitet sich der Trojaner weiter durch Ihr Unternhemen.
Das große Finale folgt mit einer Verschlüsselung Ihrer Daten sowie einer Lösegeldforderung.
Hacker von heute erkunden gemütlich für eine Weile Ihr Netzwerk, bevor sie endgültig zuschlagen. Geben Sie ihnen keine Chance! Spüren Sie Hacker-Angriffe rechtzeitig auf und sparen Sie sich dadurch Nerven und Kosten. Lernen Sie in diesem Webinar von unseren Threat-Hunting-Experten, wie Sie Eindringlinge in Ihrem Netzwerk schnell erkennen und effektiv aussperren.
Emotet wurde erstmals im Juni 2014 durch Trend Micro identifiziert. Betroffen waren Kunden deutscher und österreichischer Banken, deren Zugangsdaten über einen Man-in-the-Browser-Angriff abgefangen wurden. Seitdem wurden mehrere Evolutionsstufen des Trojaners entdeckt, die sich nach und nach wellenartig weltweit verbreiteten. Seit Ende 2018 ist Emotet auch in der Lage, Inhalte aus E-Mails auszulesen und zu verwenden, was die Gefährlichkeit noch einmal erhöhte und dazu führte, dass das BSI explizit eine Warnung vor diesem Schadprogramm veröffentlichte. Die betroffenen Empfänger erhielten nun E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie zuvor in Kontakt standen. Dazu waren Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur zu früheren E-Mails stimmig und verleiteten auch sensibilisierte Nutzer hierdurch zum Öffnen des schädlichen Dateianhangs oder des in der Nachricht enthaltenen Links. In Einzelfällen sei es bei den Betroffenen dadurch zu Ausfällen der kompletten IT-Infrastruktur und zu Einschränkungen von kritischen Geschäftsprozessen gekommen, die Schäden in Millionenhöhe nach sich zogen. Es kam zu großen Produktionsausfällen und es mussten ganze Unternehmensnetzwerke nach einer Infektion mit Emotet neu aufgebaut werden. CERT-Bund und Polizei-Behörden berichteten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden. Betroffen war unter anderem auch die Heise Gruppe und das Berliner Kammergericht. Dem Kammergericht wird in einem Gutachten zu einem „kompletten Neuaufbau der IT-Infrastruktur“ geraten.
Ihre größte Angriffsfläche – Ihre Anwender
Phishing ist ein lukratives Geschäft. Phishing-Angriffe haben in den letzten Jahren dramatisch zugenommen. Ein solides Awareness-Programm darf deshalb in keiner fundierten Sicherheitsstrategie fehlen. Sophos Phish Threat schult und testet Ihre Mitarbeiter durch automatische Angriffssimulationen, qualitativ hochwertige Security-Awareness-Trainings und aussagekräftige Reporting-Daten.
Phish Threat bietet Ihnen flexible, individuell anpassbare Vorlagen und Trainings, mit denen Sie ganz einfach eine positive Security-Awareness-Kultur in Ihrem Unternehmen fördern können.
Sophos Phish Threat
Für kostenlose 100-Benutzer-Testversion registrieren
- Hunderte realistische, anspruchsvolle Simulationen
- Automatisches Reporting über Phishing- und Trainingsergebnisse
- Neun Sprachen zur Auswahl
- Wahl zwischen verschiedenen Hosting-Regionen (Deutschland, Irland, USA)
- SOC-2-konform zum Schutz von Kundendaten
Was ist zu tun, wenn in meiner Organisation bereits IT-Systeme infiziert sind?
- Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
- Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.
- Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von AV–Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
- Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.
- Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.
- Melden Sie den Vorfall – ggf. anonym – beim BSI. Diese Informationen sind Voraussetzung für ein klares IT-Lagebild und für eine frühzeitige Warnung potenziell später Betroffener durch das BSI von zentraler Bedeutung.
- Stellen Sie Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland.
- Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des „Stillstands“ sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern, wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) – Andererseits zur Sensibilisierung für den Neuanlauf inkl. der notwendigen Informationen.
- Proaktive Information von Geschäftspartnern/Kunden über den Vorfall mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation. Sharing is caring!