Achtung Dynamit-Phishing: Gefährliche Trojaner-Welle legt ganze Firmen lahm

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Achtung Dynamit-Phishing: Gefährliche Trojaner-Welle legt ganze Firmen lahm

    Neu

    BSI, CERT-Bund und Cybercrime-Spezialisten der LKAs sehen eine akute Welle von Infektionen mit Emotet, die Millionenschäden anrichtet.

    Eine Cybercrime-Gang legt derzeit in Deutschland ganze Firmen lahm. Die Schäden erreichen schon in einzelnen Fällen Millionenhöhe; der Gesamtumfang lässt sich noch nicht überblicken. Der Verursacher ist Emotet – ein Trojaner, der mit äußerst gut gemachten Phishing-Mails ins Haus kommt und dabei kaum von echten Mails zu unterscheiden ist.

    Die Emotet-Mails mit Trojaner-Anhang stammen scheinbar von Kollegen, Geschäftspartnern oder Bekannten. CERT-Bund und Polizei-Behörden berichten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden; allein der Zentralen Ansprechstelle Cybercrime des LKA Niedersachsen liegen dutzende aktuelle Vorfälle bei Firmen vor.

    Die Kriminellen haben sich offenbar Methoden und Techniken der staatlich geförderten Hacker-Gruppen abgeschaut: "Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden" erklärt BSI-Präsident Arne Schönbohm die neuartige Qualität der Angriffe. Konkrete Vorbilder für die neuen Cybercrime-Aktivitäten sind Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion.

    Dynamit-Phishing
    Beim Spear Phishing schicken die Angreifer sehr gut auf eine Zielperson zugeschnittene E-Mails, mit der Absicht, diese dazu zu verleiten, den Mail-Anhang zu öffnen. So dringen sie selbst in die gesicherten Netze von Regierungen und Rüstungskonzernen ein.

    Emotet sammelt seit Monaten bei seinen Opfern Informationen darüber, wer in einer Firma mit wem kommuniziert. Darüber hinaus greifen die letzten Versionen auch den Inhalt der Mails ab. Damit lassen sich Phishing-Mails bauen, die nahezu perfekt an das normale Kommunikationsverhalten in einer Firma angepasst sind. Anders als beim Spear-Phishing werden die Mails jedoch nach wie vor automatisiert erstellt und in großer Zahl verschickt. Vielleicht sollte man angesichts Verbreitung und Wirkung also eher von "Dynamit-Phishing" reden.

    Angriff im Netz
    Aktuelle Emotet-Mails enthalten eine Doc-Datei mit Makros. Deren Abarbeitung muss der Empfänger nach dem Öffnen in Microsoft Word erst gestatten – was offenbar immer wieder geschieht. Dann wird der Rechner über eingebettete PowerShell-Kommandos infiziert und weitere Schad-Sofware aus dem Internet nachgeladen.

    Den erwähnten Schaden bis zum Lahmlegen der gesamten IT verursacht aber nicht die Erstinfektion. Vielmehr versucht sich Emotet nach dem Vorbild der APT-Hacker zunächst im Netz auszubreiten (Lateral Movement). Dazu nutzt es auf dem Rechner abgeerntete Zugangsdaten und auch einen Exploit, der aus den Geheimlabors der NSA stammt. Mit EternalBlue kaperten die US-Hacker mit Regierungsauftrag über Jahre hinweg ganze Firmennetze. Jetzt nutzen die Emotet-Gauner den Exploit und finden offenbar immer noch Opfer, die den von Microsoft bereitgestellten Patch nicht eingestellt haben.

    Schutz
    Um sich vor Emotet-Infektionen zu schützen muss man auf eine Kombination von Awareness bei den Mitarbeitern und technischen Maßnahmen setzen. Ein Kernpunkt der Infektion ist die Ausführung von Makros, die für Doc-Dateien, die man per E-Mail erhält, nur selten wirklich erforderlich ist. Administratoren sollten dies etwa über Gruppenrichtlinien so weit wie möglich verbieten. In der frei verfügbaren Open-Source-Lösung LibreOffice funktionieren die Emotet-Makros übrigens nicht. Darüber hinaus sollte man Maßnahmen zur Stärkung des Sicherheitsniveaus im Firmennetz ergreifen, die die Ausbreitung verhindern oder zumindest einschränken. Das Einspielen aktueller Sicherheits-Updates ist die Grundvoraussetzung dafür. Das BSI gibt weitere konkrete Tipps zum Schutz vor Emotet für Bürger und im Rahmen der Allianz für Cybersicherheit auch für Administratoren von Firmennetzen.

    Quelle: Achtung Dynamit-Phishing: Gefährliche Trojaner-Welle legt ganze Firmen lahm |
    heise Security


    Update 06.12.2018:

    Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle

    Derzeit sorgt der Trojaner Emotet in Deutschland für Furore und legt ganze Unternehmen lahm. Bei vielen Firmen und Privatpersonen besteht deshalb akuter Handlungsbedarf.

    Bei E-Mails mit Dateianhang oder Links zu Websites sollte man argwöhnisch sein – das gilt allgemein und nicht nur im Fall des Windows-Schädlings Emotet. Der Trojaner verbreitet sich momentan rasant über gefälschte Mails, die aussehen, als würden sie von Freunden, Geschäftspartnern oder dem eigenen Chef kommen. Diese Mails sind sehr gut und gemacht und wirken aufgrund legitimer Absenderadressen und fehlerfreiem Deutsch sehr glaubhaft.

    Als ein wichtiges Sicherheitselement sollten Firmen ihre Mitarbeiter schulen und unterweisen, bei Mails mit Dateianhängen generell Vorsicht walten zu lassen. Emotet arbeitet mit Office-Dokumenten; häufig sind es angebliche Rechnungen im .doc-Format von Microsoft Word. Eine gute Regel ist es, beim Empfang solcher Dateien beim angeblichen Absender kurz nachzufragen, ob das seine Richtigkeit hat. Das kostet wenig Zeit und kann viel Unheil verhindern. Und es ist definitiv keine Schande, sich bei einer möglichen Emotet-Mail nicht ganz sicher zu sein.
    Makro-Viren abwehren

    Die eigentliche Infektion erfolgt normalerweise noch nicht beim Öffnen des Dokuments. Sie erfordert das Ausführen von Makros. Dabei handelt es sich um Befehlsketten, um etwa Layoutaufgaben zu automatisieren oder Berechnungen in Tabellen durchzuführen. Die Emotet-Autoren nutzen die Befehle jedoch dafür, Schadsoftware aus dem Internet nachzuladen und zu installieren.

    Standardmäßig sind Makros in Microsoft Office deaktiviert; sie lassen sich jedoch mit einem Mausklick auf "Inhalt aktivieren" recht einfach einschalten. Und die Malware-Autoren tun natürlich ihr Möglichstes, den Anwender zu diesem Schritt zu verleiten. Doch normalerweise benötigt man für ein Dokument, das via Mail ankommt, keine Makros. Wenn eine Datei aus einer Mail das Aktivieren von Makros einfordert, handelt es sich sehr häufig um einen Trojaner.

    Die Makro-Einstellungen findet man in etwa Office 2016 unter „Datei/Optionen/TrustCenter/Einstellungen für das Trust Center/Makroeinstellungen“. Wer selbst nicht mit Makros arbeitet und diese nicht für den eigenen Workflow benötigt, sollte die sichere Variante "Alle Makros ohne Benachrichtigung deaktivieren" wählen. Dies kann aber natürlich die Arbeitsfähigkeit etwa beim Hantieren mit Tabellen deutlich beeinträchtigen, sollte also mit Bedacht umgesetzt werden. Admins in Unternehmen können die Makro-Verwaltung unter Windows bequem über eine Gruppenrichtlinie reglementieren. Sie sollten den Gebrauch dieser gefährlichen Funktion so weit sinnvoll möglich verbieten.

    In LibreOffice und OpenOffice funktionieren die Makros in Emotet-Dokumenten nach jetzigem Kenntnisstand nicht. Ohne Makros können aktuelle Emotet-Varianten das System nicht infizieren. Andere Trojaner verwenden jedoch andere Tricks und auch die Emotet-Gang kann jederzeit eine neue Version etwa mit Schadprogrammen in ZIP-Archiven in Umlauf bringen. Verlassen Sie sich deshalb nicht allzu sehr auf diesen Schutz.

    Basisschutz für Windows
    Was für viele Computernutzer selbstverständlich ist, ist offensichtlich immer noch nicht Konsens: Ein Windows-Computer muss immer auf dem aktuellen Sicherheitsstand sein, damit er bestmöglich vor Trojanern geschützt ist. Checken Sie jetzt die Windows-Update-Funktion und prüfen Sie, ob auf Ihrem Computer alle aktuellen Sicherheitspatches installiert sind. Ist das der Fall, kann sich Emotet beispielsweise nicht mehr über die Windows-Lücke EternalBlue in Netzwerken weiter verbreiten. Die Update-Pflicht gilt natürlich auch für alle anderen Anwendungen, wie insbesondere E-Mail-Clients und Webbrowser.

    Ein wichtiges Sicherheitskonzept in Windows ist die Trennung zwischen Administratoren und eingeschränkten Nutzern. Während erstere das System verwalten und etwa auch neue Software installieren dürfen, sind die Rechte für normale Nutzer reduziert. Das beschränkt auch den Schaden, den eine Malware auf dem System und im Netz anrichten kann. Insbesondere für Arbeitsplätze in Firmennetzen sollte man unbedingt Accounts mit eingeschränkten Rechten anlegen und nutzen.

    Außerdem sollte man in Firmenumgebungen die Benutzerkontensteuerung (UAC) von Windows auf die höchste Stufe einstellen. Standardmäßig steht die auf "Mittel" und lässt sich damit leicht umgehen. In der höchsten Stufe verlangt Windows immer eine Bestätigung des Nutzers, wenn etwa ein Prozess mit Administrator-Privilegien ausgeführt werden soll.

    Unter Windows ist es ratsam, einen Virenwächter mit aktuellen Signaturen installiert zu haben. Für den Grundschutz reicht dabei der Windows Defender aus, den Windows 10 gleich mitbringt und der ab Werk aktiv ist. Allerdings sollte man sich nicht blind auf den Schutz der Antiviren-Software verlassen – ganz gleich welcher Marke. Die Erfahrung zeigt, dass es Cyber-Kriminellen immer wieder gelingt, deren Schutzfunktionen zu umgehen. Ein Virenwächter ist nur ein Baustein in einem guten Sicherheitskonzept.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Allianz für Cybersicherheit eine ganze Reihe weiterführender Sicherheitstipps zusammengestellt, die sich an Admins von Unternehmen wenden. So kann man Computer beispielsweise durch Application Whitelisting schützen. Das funktioniert über die Software Restriction Policies (SRP) von Windows. Diese kann man so konfigurieren, dass das System standardmäßig alle ausführbaren Dateien außerhalb der Windows-System-Ordner blockiert. Das verbietet einem Erpressungstrojaner bereits den Start, sodass dieser keinen Schaden anrichten kann. Damit Sie SRP bequem konfigurieren können, gibt es das kostenlose c’t-Tool Restric’tor.

    Kein Backup - kein Mitleid
    Im Gefolge einer Emotet-Infektion kommt oft weitere Schad-Software auf den Rechner – nicht selten ist das dann ein Erpressungstrojaner, der wichtige Daten verschlüsselt. Am besten ist man aufgestellt, wenn man seine Daten regelmäßig als Backup sichert. In Firmen sollte man das mehrmals täglich machen. Sollten Sie noch kein Backup haben, fangen Sie jetzt damit an! Wie man mit wenigen Handgriffen eine effektive und sogar automatisierte Backup-Strategie erstellt, zeigt ein kostenloser c't-Artikel.

    Aber Ransomware hat es nicht nur auf interne Festplatten abgesehen, sondern nimmt sich auch extern angeschlossene Datenspeicher und Netzwerkfestplatten (NAS) vor. Wenn eine externe Festplatte zum Sichern stets an einen Computer angeschlossen ist, hilft ein Backup jedoch wenig, da Erpressungstrojaner es ebenfalls verschlüsseln. Schließen Sie also externe Datenträger für den Zeitpunkt des Backups an den Computer an.

    Nach einer Infektion
    Hat Emotet zugeschlagen, sollte man alle infizierten Rechner neu aufsetzen. Doktern Sie nicht an den Symptomen herum, bis der Rechner wieder läuft. Emotet nimmt nicht nur selbst viele Veränderungen am System vor; er ist darauf spezialisiert, weitere Malware aus dem Internet nachzuladen und zu installieren. Sie wissen als nie, was noch alles auf dem Rechner gelandet ist.

    Darüber hinaus hat Emotet sehr ausgeklügelte Methoden, Informationen und speziell Passwörter zu stehlen. So nutzt es teilweise öffentlich verfügbare Tools wie WebBrowserPassViews und Mail PassView, um gespeicherte Passwörter aus dem System und Applikationen auszulesen. Außerdem versucht es auch das Netzwerk-Passwort der am System angemeldeten Nutzer zu ermitteln. Betrachten Sie also alle auf dem System zu Einsatz kommenden Passwörter als kompromittiert und wechseln Sie diese so schnell wie möglich.

    Und schließlich versucht Emotet sich mit den gestohlenen Passwörtern, einem Wörterbuch aus häufig genutzten Passwörtern und dem EternalBlue-Exploit auf Netzwerk-Freigaben zu verbinden und über diese auch weitere System im Netz zu infizieren. Nehmen Sie also infizierte System unverzüglich vom Netz, um einer weitere Ausbreitung zu verhindern. Melden Sie sich auch möglichst nicht mit privilegierten Accounts auf infizierten System an. Das könnte die weitere Ausbreitung des Schädlings beschleunigen.

    Anzeige erstatten
    Opfer sollten in jedem Fall Anzeige erstatten. In vielen Bundesländern kann man das sogar online machen. Betroffene Firmen können sich derzeit an die Zentrale Ansprechstelle Cybercrime für die Wirtschaft (ZAC) der einzelnen Bundesländer wenden und erhalten dort Hilfe. Privatpersonen erhalten zwar keine Unterstützung, aber zumindest Beratung. Ansprechpartner gibt es in jeder örtlichen Polizeidirektion in der Abteilung für Cyber-Kriminalität.

    Quelle: Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle |
    heise Security

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de () aus folgendem Grund: Update: So schützen Sie sich vor der Trojaner-Welle

  • Neu

    BSI warnt vor Phishing-Welle
    Emotet: So schützen Sie sich vor dem gefährlichen Trojaner
    7.12.2018 von Manuel Medicus
    Ein Jahre alter Trojaner kehrt zurück und sorgt mit neuen Angriffsmethoden für Millionenschäden. Was Sie zu Emotet wissen müssen und wie Sie sich schützen.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer neuen Trojaner-Welle, die sich via Phishing. Der Schädling - Emotet - ist bereits seit Jahren bekannt, wird nun jedoch im Zusammenhang mit gefährlichen Phishing-Attacken genutzt. Vor allem Unternehmen sind bedroht.

    Doch wie infiziert Emotet den PC? Wie verbreitet sich die Malware? Und wie können Sie sich, Ihre Familie, Freunde und Kollegen schützen? Das erklären wir in unserem Ratgeber zu Emotet.

    Was ist Emotet - und warum ist der Trojaner so gefährlich?

    Bei Emotet handelt es sich um einen Trojaner, für den Cyberkriminelle die Angriffsmethoden staatlicher Hacker übernommen und automatisiert haben. Auf infizierten Systemen liest die Malware aus E-Mail-Software Kontaktdaten und Inhalte von E-Mails aus und kann auch weitere Schadsoftware nachladen.

    Dieses "Outlook-Harvesting" - also das Ernten von Microsofts E-Mail-Programm Outlook - nutzt Emotet laut BSI um automatisiert neue, sehr authentisch wirkende Phishing-Mails an die Kontakte des Opfers zu verschicken. Dann reicht ein unbedachtes Öffnen des Office-Dokuments im Anhang sowie das Aktivieren der Makro-Funktion, und der Rechner ist infiziert.

    Besonders gefährlich daran ist: Die in gutem Deutsch verfassten E-Mails werden von der E-Mail-Adresse des Opfers bevorzugt an Kontakte verschickt, mit denen der Betroffene erst kürzlich in Kontakt war. Die Phishing-Mails wirken glaubhaft, als würden sie von einem Freund, Kollegen, Geschäftspartnern oder sogar dem eigenen Chef kommen. Die Hemmschwelle den Anhang zu öffnen, sinkt also, und unbedachte Nutzer ignorieren so schnell die Sicherheitswarnungen beim Aktivieren der Makro-Funktionen.

    Unberechenbar wird Emotet zudem, da der Trojaner in der Lage ist, weitere Schadsoftware nachzuladen. Wie das BSI über seine Allianz für Cyber-Sicherheit erklärt, wurde zuletzt vor allem der Banking-Trojaner "Trickbot" nachgeladen. Dieser kann Passwörter auslesen und sich über die Ausnutzung von bekannten SMB-Schwachstellen in einem Netzwerk ausbreiten, was ihn gerade für Unternehmen sehr gefährlich macht.

    Dabei wird unter anderem der EternalBlue-Exploit ausgenutzt, der bereits den 2017 die Angriffswelle durch den Erpressungstrojaner WannaCry ermöglichte. Windows-Sicherheitspatches für diese Schwachstelle stehen schon lange zur Verfügung.

    Antivirus-Software sei wegen ständigen Änderungen an der Schadsoftware oft wirkungslos. Auf diese Weise sei es schon zu Ausfällen kompletter Unternehmensnetzwerke und Schäden in Millionenhöhe gekommen, so die Behörde.

    Wie kann ich mich gegen Emotet schützen?

    Der effektivste Schutz gegen Emotet ist wieder einmal die alte Regel: Höchste Vorsicht bei E-Mail-Anhängen - egal ob von bekannten oder unbekannten Kontakten. Versichern Sie sich im Zweifelsfall mit einer kurzen Rückfrage, dass die E-Mail auch vom angeblichen Absender an Sie gesendet wurde.

    Allerspätestens sollten jedoch die Alarmglocken schrillen, wenn ein per E-Mail-Anhang gesendetes Office-Dokument beim Öffnen von Ihnen verlangt, das Ausführen von Makros oder OLE-Objekten zu erlauben. Diese Skripte erlauben es in Word, Excel und anderen Microsoft-Office-Programmen Arbeitsschritte automatisiert ablaufen zu lassen und werden von Cyberkriminellen schon seit jeher gerne als Einfallstor für Malware genutzt.

    Wer innerhalb eines Unternehmens oder einer Organisation aber auf die Ausführung von Makros angewiesen ist, dem rät das BSI dazu, diese Makros digital zu signieren. Anschließend kann in Office eingestellt werden, dass nur Makros mit den festgelegten Signaturen aus vertrauenswürdiger Quelle ausgeführt werden können.
    Folgende Ratschläge sollten Sie unabhängig von Emotet befolgen, um Ihr PC-System zu schützen:
    • Installieren Sie stets sofort alle (Sicherheits-)Updates für Windows sowie relevante Software wie Browser, Browser-Addons, E-Mail-Clients, Office- und PDF-Programme.
    • Nutzen Sie Windows Defender oder eine andere Antivirus-Software und halten SIe diese auf dem aktuellen Stand.
    • Führen Sie regelmäßig Backups durch, um ihre persönlichen Daten zu sichern.
    • Nutzen Sie Ihren PC nicht mit einem Admin-Konto, sondern legen Sie ein eigenes Benutzerkonto an.
    Weitere Sicherheitstipps liefern unsere 10 goldenen Regeln zur PC Sicherheit. Unternehmen erhalten weitere Tipps bei der Allianz für Cyber-Sicherheit des BSI.

    Was soll ich tun, wenn ich von Emotet betroffen bin?

    Opfer von Emotet sollten gemäß den Empfehlungen des BSI umgehend das eigene Umfeld über die Malware-Infektion informieren und vor dem Öffnen entsprechend verdächtiger E-Mails warnen. Zudem sollten sie alle auf dem betroffenen System gespeicherten Zugangsdaten umgehend ändern. Dies kann der Fall sein, wenn Sie etwa im Browser Passwörter für Webdienste hinterlegt haben.

    Da der Emotet Trojaner weitere unbekannte Schadsoftware nachladen kann, ist eine Reinigung des infizierten PCs meist nur schwer möglich. Denn diese nachgeladene Malware kann sich tief ins System einnisten und wird häufig auch von aktueller Antivirensoftware nicht erkannt. Das BSI empfiehlt daher, den Rechner komplett neu aufzusetzen.


    Quelle: Emotet: So schützen Sie sich vor dem gefährlichen Trojaner - PC Magazin