Derzeit legt eine Cybercrime-Gang in Deutschland ganze Firmen lahm. In einzelnen Fällen erreichen die Schäden schon Millionenhöhe; der Gesamtumfang lässt sich noch nicht überblicken. Der Verursacher ist ein Trojaner namens Emotet, der mit äußerst gut gemachten Phishing-Mails ins Haus kommt und dabei kaum von echten Mails zu unterscheiden ist.

Scheinbar stammen die Emotet-Mails mit Trojaner-Anhang von Kollegen, Geschäftspartnern oder Bekannten. Polizei-Behörden und CERT-Bund berichten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden. Dutzende aktuelle Vorfälle bei Firmen liegen allein der Zentralen Ansprechstelle Cybercrime des LKA Niedersachsen vor.

Offenbar haben sich die Kriminellen Methoden und Techniken der staatlich geförderten Hacker-Gruppen abgeschaut: "Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden" erklärt BSI-Präsident Arne Schönbohm die neuartige Qualität der Angriffe. Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion sind konkrete Vorbilder für die neuen Cybercrime-Aktivitäten.

Die Angreifer schicken beim Spear Phishing sehr gut auf eine Zielperson zugeschnittene E-Mails, mit der Absicht, diese dazu zu verleiten, den Mail-Anhang zu öffnen. Sie dringen so selbst in die gesicherten Netze von Regierungen und Rüstungskonzernen ein.

Seit Monaten sammelt Emotet bei seinen Opfern Informationen darüber, wer in einer Firma mit wem kommuniziert. Die letzten Versionen greifen darüber hinaus auch den Inhalt der Mails ab. Damit lassen sich Phishing-Mails konstruieren, die nahezu perfekt an das normale Kommunikationsverhalten in einer Firma angepasst sind. Die Mails werden anders als beim Spear-Phishing jedoch nach wie vor automatisiert erstellt und in großer Zahl verschickt.

Aktuelle Emotet-Mails enthalten eine Doc-Datei mit Makros. Der Empfänger muss deren Abarbeitung nach dem Öffnen in Microsoft Word erst gestatten, welches offenbar immer wieder geschieht. Der Rechner wird dann über eingebettete PowerShell-Kommandos infiziert und weitere Schad-Software aus dem Internet nachgeladen.

Die Erstinfektion verursacht aber nicht den erwähnten Schaden bis zum Lahmlegen der gesamten IT. Emotet versucht sich vielmehr nach dem Vorbild der APT-Hacker zunächst im Netz auszubreiten (Lateral Movement). Dazu nutzt es auf dem Rechner abgeerntete Zugangsdaten und auch einen Exploit, der aus den Geheimlabors der NSA stammt. Die US-Hacker übernahmen mit EternalBlue mit Regierungsauftrag über Jahre hinweg ganze Firmennetze. Die Emotet-Gauner nutzen jetzt den Exploit und finden offenbar immer noch Opfer, die den von Microsoft bereitgestellten Patch nicht eingestellt haben.

Es muss auf eine Kombination von Awareness bei den Mitarbeitern und technischen Maßnahmen gesetzt werden, um sich vor Emotet-Infektionen zu schützen. Die Ausführung von Makros ist ein Kernpunkt der Infektion, welche für Doc-Dateien, die man per E-Mail erhält, nur selten wirklich erforderlich ist. Dies sollten Administratoren beispielsweise über Gruppenrichtlinien so weit wie möglich verbieten. Die Emotet-Makros funktionieren in der frei verfügbaren Open-Source-Lösung LibreOffice hingegen nicht. Darüber hinaus sollten Maßnahmen zur Stärkung des Sicherheitsniveaus im Firmennetz ergriffen werden, welche die Ausbreitung verhindern oder zumindest einschränken. Grundvoraussetzung dafür ist das Einspielen aktueller Sicherheits-Updates. Das BSI gibt weitere konkrete Tipps zum Schutz vor Emotet für Bürger und im Rahmen der Allianz für Cybersicherheit auch für Administratoren von Firmennetzen.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE