Banking-Trojaner Emotet: Sicherheitsspezialisten entdecken neue Angriffswelle


Emotet bleibt gefährlich, weil es sich immer wieder verändert. Es sorgt auch in Deutschland für hohe Schadensfälle, indem es weitere Schadprogramme nachlädt. Cisco Talos erwartet eine Zunahme modularer Malware-Familien wie Emotet.

Ciscos Sicherheitssparte Talos hat in jüngster Zeit mehrere Malwarekampagnen mit dem Banking-Trojaner Emotet beobachtet, der seit Jahren immer wieder für umfangreiche Schadensfälle sorgt. Im Mittelpunkt stehen an E-Mails angehängte Microsoft-Word-Dateien, in denen bösartige Makros für den Download von Emotet eingebettet sind.

Die jüngste Variante kann zusätzlich ermitteln, ob die kompromittierte Domain, von der aus die bösartigen Mails versandt werden, bereits auf einer Sperrliste verzeichnet ist. Damit können Angreifer sicherstellen, dass mehr ausgesandte Nachrichten tatsächlich bei potentiellen Opfern ankommen und nicht in Spamfiltern hängen bleiben.

Wie schon bei früheren Angriffswellen setzen die Hintermänner Emotet ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.

Emotet erreicht die Opfer meist über angehängte Office-Dokumente mit Makros, aber auch URL-basierte Spam-Nachrichten können zu einer möglichen Infektion führen. Laut Cisco Talos verändern und entwickeln sich die Kampagnen täglich, und auch die unterstützende Infrastruktur ist einem ständigen Wandel unterworfen. Zu beobachten sei, dass Emotet manche Kommando- und Kontrollserver über längere Zeiträume immer wieder verwendet.

Emotet ist offenbar geschickt darin, die Betreffzeilen der versandten Mails immer wieder zu verändern, so dass selten eine große Anzahl von E-Mails mit einem identischen Betreff auffällt. Auch bei den zuletzt beobachten Kampagnen ging es vor allem um angebliche Rechnungen und anstehende Paketlieferungen. Die versandten E-Mails sind außerdem in verschiedenen Sprachen einschließlich Deutsch verfasst. Eine zweite Kampagnenversion setzt auf direkten URL-Download anstelle angehängter Office-Dokumente mit Makros, um die Malware ans Ziel zu bringen. Das Hosting der Malware erfolgt überwiegend auf zuvor kompromittierten Websites.

Cisco Talos erwartet eine weitere Zunahme modularer Malware-Familien wie Emotet, die unterschiedliche Schadsoftware ausliefern und die Gewinnaussichten der Hintermänner maximieren. „Wie die kürzlich eingeführte Überprüfung auf Sperrlisten durch das Spam-Modul zeigt, sucht Emotet die finanziellen Vorteile unter allen Umständen zu maximieren und gleichzeitig Varianten weniger einzusetzen, die einen geringeren Ertrag versprechen“, kommentieren die Sicherheitsforscher. „Solche Veränderungen sind es, die Emotet am oberen Ende der Crimeware-Landschaft halten.“

Schon im letzten Monat warnte die Deutsche Telekom ihre Kunden vor massenhaft versandten Phishing-Mails einer so genannten „Emotet-Gang“ von Cyberkriminellen. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.

Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, geht das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und rät, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.

Darüber hinaus meldet das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. Es gelte als eine der weltweiten gefährlichsten Malware-Bedrohungen und sorge auch in Deutschland für hohe Schadensfälle, indem es weitere Schadprogramme nachlädt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet, die das BSI im Rahmen der Allianz für Cyber-Sicherheit ausspricht.

Quelle: Banking-Trojaner Emotet: Sicherheitsspezialisten entdecken neue Angriffswelle | ZDNet.de

Offensichtlich hat es der Emotet-Schädling nun auf Privatpersonen abgesehen. Derzeit sind gehäuft gefälschte Amazon-, Telekom- und Vodafone-Mails unterwegs.

Der Multifunktionstrojaner für Windows Emotet ist wieder im Umlauf und versteckt sich in vermeintlichen Telekom- und Vodafone-Rechnungen. Zudem sind vermehrt Fake-Amazon-Mails unterwegs. Wer dieser Tage so eine Mail bekommt, sollte auf keinen Fall den Anhang öffnen oder auf Links innerhalb der Nachricht klicken.

BSI und LKA warnen
Das CERT-Bund hat ein vermehrtes Aufkommen dieser Betrügermails beobachtet und warnt davor auf Twitter. Die Mails orientieren sich beim Layout und Text an Originalen und sie wirken auf den ersten Blick glaubhaft. Erst wer sich den Absender genau anschaut, erkennt, dass die Mail von einem kompromittierten Server und nicht von der Telekom oder von Vodafone versendet wurden.

Die Macher der Betrügermails zielen darauf ab, dass Opfer den Dateianhang in Form einer unechten Rechnung öffnen. In der Regel sind das Word-Dokumente mit eingebetteten Makrofunktionen. Wer so ein Dokument öffnet und darin die Makros aktiviert, hat seinen Computer infiziert. Ein Hintergrundartikel von heise Security zeigt, wie man sich vor so etwas schützt und wie man sich im Ernstfall am effektivsten verhält.
Das LKA Niedersachsen verzeichnet momentan ein enormes Aufkommen von gefälschten Amazon-Mails. In diesen finden sich Links, die ebenfalls zu Word-Dateien mit Makros führen, die nach dem Ausführen Emotet auf den Computer holen.

Neu ausgerichtete Emotet-Kampagne
Emotet sorgte Ende 2018 für Schlagzeilen, als der Trojaner ganze Firmen lahmlegte und Schäden in Millionenhöhe verursachte. Auch zu dieser Zeit warnte das CERT-Bund vor einer Infektionswelle. Zu diesem Zeitpunkt waren Unternehmen das Hauptziel der Kriminellen. Dabei setzten sie auf extrem gut gemachte Phishing-Mails, die angeblich von Arbeitskollegen oder sogar dem eigenen Chef stammten. Zum Teil griffen die Mails sogar aktuelle Projekte in Firmen auf, um die Glaubwürdigkeit zu steigern. Die Drahtzieher haben dafür akribisch Informationen über Opfer zusammengetragen und daraus eine neue Generation von Phishing-Mails gestrickt. Die maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen.

Nun scheinen Privatpersonen im Fokus zu stehen und die Emotet-Drahtzieher setzen auf altbewährte Phishing-Mails mit gefälschten Rechnungen. Die Masche mit Makroviren ist gefühlt uralt – funktioniert aber offensichtlich immer noch.
Emotet ist äußerst gefährlich und perfide, weil er äußerst vielseitig einsetzbar ist. Zum Beispiel holt er nach einer Infektion beispielsweise den Banking-Trojaner Trickbot auf Computer. Außerdem kopiert er Passwörter aus Browsern und Mail-Clients, kann sich wurmartig in Netzwerken verbreiten und effektiv vor Schutzsoftware verstecken. Darüber hinaus soll sich die weiterentwickelte aktuelle Version noch effektiver durch Spamfilter mogeln, erläutern Sicherheitsforschervon Cisco Talos in einem Beitrag.

Quelle: Aktuelle Trojaner-Welle: Emotet lauert in gefälschten Rechnungsmails | heise online

Die Phishing-Mails verwenden geschickt die Floskeln echter Aussendungen, um zu Klicks zu verleiten. Die Opfer handeln sich damit die modulare Malware Emotet ein. Emotet begann als Banking-Trojaner, fiel zuletzt aber auch durch Ransomware-Infektionen auf.

Die Windows-Malware Emotet wird über eine neue Angriffswelle mit E-Mails verbreitet, die angeblich von Microsoft kommen und über Änderungen eines Servicevertrags informieren. Vor den in großem Umfang versandten Phishing-Mails warnt das CERT-Bund (Computer Emergency Response Team der Bundesverwaltung), das im BSI angesiedelt ist: „NICHT die Links in der E-Mail anklicken!“

Im Gegensatz zu vielen anderen Phishing-Kampagnen wirken Gestaltung und Text der gefälschten Mails glaubwürdig. Sie sind nicht in Radebrech-Deutsch gehalten, ihre Rechtschreibung ist stimmig. Sie bedienen sich einfach bei den Floskeln und juristischen Formulierungen echter Aussendungen, um zu unüberlegten Klicks zu verleiten. In Onlineforen fragen sich verunsicherte Nutzer nicht ohne Grund immer wieder, ob solche eingegangenen E-Mails echt sind oder nicht.

„Der Servicevertrag ist jetzt übersichtlicher gestaltet“, heißt es in den gefälschten Mails. Sie erreichen die Empfänger angeblich aufgrund von Änderungen am Microsoft-Servicevertrag, der für von ihnen genutzte Produkte gelte. „Die Nutzung unserer Heimanwenderprodukte und -dienste (einschließlich Käufen) ab dem 13. Februar 2019 gilt als Zustimmung ihrerseits zum aktualisierten Microsoft-Servicevertrag“, erklärt die Aussendung dann. „Wenn Sie den Bestimmungen nicht zustimmen, können Sie die Produkte und Dienste nicht mehr nutzen und sollten Ihr Microsoft-Konto schließen, bevor die Bestimmungen in Kraft treten.“

Die enthaltenen Links führen angeblich zu einem vollständigen neuen Microsoft-Servicevertrag und einem Formular zur Schließung des Microsoft-Kontos. Der Text spricht auch noch ausdrücklich Elternteile oder sonstige Erziehungsberechtigte an, da sie für die Nutzung von Microsofts Produkten und Diensten durch ihre Kinder oder Teenager verantwortlich seien. „Vielen Dank, dass Sie Produkte und Dienste von Microsoft nutzen“, schließt die Phishing-Mail.

Emotet wird immer wieder verwendet
Eine ähnliche Emotet-Angriffswelle zielte im Dezember auf Kunden der Deutschen Telekom. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.

Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, ging das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und riet, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Darüber hinaus meldete das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet, die das BSI im Rahmen der Allianz für Cyber-Sicherheit aussprach.

Im Januar berichtete Ciscos Sicherheitssparte Talos von mehreren aktuellen Malwarekampagnen, in deren Mittelpunkt an E-Mails angehängte Microsoft-Word-Dateien stehen, in denen bösartige Makros für den Download von Emotet eingebettet sind. Laut Talos setzen die Hintermänner Emotet inzwischen ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.

Quelle: Emotet: CERT-Bund warnt vor gefälschten Microsoft-Mails

Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

Derzeit sind erneut vermehrt E-Mails mit Fake-Rechnungen in Umlauf. Wer nicht aufpasst, fängt sich den Windows-Trojaner Emotet ein.

Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer.
Dieser Tage landen gehäuft gefälschte Rechnungen in Mail-Postfächern. Im Anhang dieser Nachrichten befindet sich ein PDF-Dokument. Die Mails weisen Betreffzeilen wie "Zahlungsanfrage" oder "Fehlende Rechnung" auf.

Mehrere Leser haben heise Security solche Mails weitergeleitet. Der Text in den Mails ist kurz und knapp und variiert. Wirklich überzeugend wirkt das nicht – es gab schon weitaus glaubhaftere und somit gefährlichere Rechnungsmails. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund warnt auf Twitter vor diesen Nachrichten. Auch das LKA Niedersachsen beobachtet derzeit ein erhöhtes Aufkommen.

Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen
Die gefälschten Mails stammen von kruden Absender-Adressen wie Kfz-Tchnik@moldocor.ro. Im PDF ist ein Link zu einem mit Makros präparierten Word-Dokument.

Vom PDF zum Word-Dokument zum Trojaner
Wer so eine Mail bekommt, sollten den Anhang nicht herunterladen und die Nachricht löschen. Die Drahtzieher dieser Spam-Kampagne wollen über diesen Weg Windows-Computer mit dem Multifunktionstrojaner Emotet anstecken. Das alleinige Öffnen des PDFs löst aber noch keine Infektion aus.

In dem Dokument befindet sich ein Link, der zu einem Word-Dokument führt. Dieses ist mit Makros präpariert. Der Text darin versucht, Opfer dazu zu bringen, die Makros zu aktivieren. In der Regel ist diese Funktion standardmäßig deaktiviert. Eigentlich sollen Makros beispielsweise wiederkehrende Aufgaben bei der Erstellung eines Dokumentes zu automatisieren. In diesem Fall missbrauchen die Betrüger die Funktion aber dazu, um den Schädling herunterzuladen. Für eine erfolgreiche Infektion müssen Opfer also mehrere Schritte mitmachen.

Parallel dazu sind auch wieder Fake-Rechnungsmails mit einem gefährlichen Link unterwegs, die von vermeintlich Bekannten oder Arbeitskollegen stammen. Diese maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen. Die heise Security vorliegende Mail ist aber nicht sehr gut gemacht.

So schützt man sich
Diese Form von Makros funktionieren aber nur mit Microsoft Office. Nutzer von LibreOffice und OpenOffice sollten nicht gefährdet sein. Wie man sich vor Emotet & Co. schützen kann, zeigt ein Hintergrundartikel von heise Security.

Wie sich Unternehmen auf die Gefahren durch Emotet und Co. optimal vorbereiten können, das ist auch einer der Schwerpunkte der diesjährigen Heise-Security-Tour "Wissen schützt - Cybercrime Next Generation abwehren". Das Thema spielt auch auf der im März in Hannover stattfindenden secIT 2019 eine Rolle.

Perfider Schädling
Ende 2018 gab es eine große Emotet-Welle, unter der vor allem Unternehmen litten. Dabei entstanden Schäden in Millionenhöhe. Ende Januar hing Emotet an gefälschten Vodafone-Rechnungen, um Privatpersonen ins Visier zu nehmen.

Emotet ist besonders gefährlich, weil er vielseitig einsetzbar ist. Er kann etwa den Banking-Trojaner Trickbot auf Computer holen und Passwörter aus Browsern und Mail-Clients kopieren. Außerdem kann er sich in Netzwerken wurmartig verbreiten.

Quelle: Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen | heise online

Trojaner Emotet zielt auf Apple-Kunden ab

Mit einer gefälschten Warn-E-Mail wollen Kriminelle nun Apple-Nutzer dazu bringen, den Emotet-Schädling auf den Computer zu lassen.

Um weitere Opfer für den Windows-Trojaner Emotet zu finden, haben es Unbekannte nun auch speziell auf Apple-Kunden abgesehen. Eine gefälschte, vorgeblich vom Apple-Support stammende E-Mail fordert den Empfänger dazu auf, einem Link zu folgen, um so angeblich eine Deaktivierung und Löschung bestimmter Apple-Dienste zu verhindern. Die Mails mit dem Betreff "Nachricht von Apple" gaukeln vor, das Unternehmen habe den "Zugriff zu ihrem Kundenkonto eingeschränkt". Um den Account wieder zu aktivieren, müsse man nur dem Link folgen.
Link in vorgeblicher Apple-Mail keinesfalls anklicken!!!

Darüber werde aber das Schadprogramm Emotet verbreitet, wie CERT-Bund inzwischen warnt, Empfänger sollten den Link keinesfalls anklicken. Als Absender werden auch legitime Accounts genutzt, um so Spam-Filter zu umgehen, merken die Sicherheitsforscher des Bundesamtes für Sicherheit in der Informationstechnik an.

Seit rund einem Monat treibt der Trojaner Emotet wieder verstärkt sein Unwesen und zielt inzwischen vorrangig auf Privatpersonen ab, dafür kamen bislang vor allem gefälschte Mails von Amazon, Telekom und Vodafone zum Einsatz – sowie aktuell auch von der Sparkasse, wie CERT-Bund ausführt. Gewöhnlich soll auf diese Weise versucht werden, den Nutzer zum Download eines Word-Dokumentes mit eingebetteter Makrofunktion zu locken. Wird dieses geöffnet und das Ausführen der Makros erlaubt, kann der Schädling so den Computer infizieren.

Makro-Malware auf für den Mac möglich
Bislang scheint Emotet rein auf Windows-Systeme abzuzielen, mit den gefälschten Apple-Mails sollen also iPhone-Besitzer mit iCloud-Account und Windows-PC angesprochen werden. Vereinzelt sind in den vergangenen Jahren aber auch manipulierte Word-Dokumente aufgetaucht, deren Makro-Malware speziell auf macOS ausgelegt ist – entsprechend sollten auch Mac-Nutzer Links und Dokumente in derartigen Warn-Mails keinesfalls anklicken und öffnen.

Quelle: Trojaner Emotet zielt auf Apple-Kunden ab | heise online

Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter

Mit Hilfe von früher abgegriffenen E-Mails basteln die Kriminellen absolut echt wirkende Dynamit-Phishing-Mails.

Bereits seit Herbst vorigen Jahres sammelt Emotet auf jedem infizierten System die dort gespeicherten Outlook-Mails ein. Bisher nutzte es die nur, um plausible Absender und Empfänger für weitere Phishing-Mails zu erzeugen. Doch jetzt nutzt es den tatsächlichen Inhalt der gestohlenen Mails, um das noch weiter zu perfektionieren.

heise Security und c't warnten bereits 2018, dass weiter perfektionierte Dynamit-Phishing-Aktivtäten zu erwarten sind. Jetzt dokumentiert das CERT-Bund erstmals einen Fall, in dem diese Befürchtungen tatsächlich Realität werden. Eine Dynamit-Phishing-Mail der Emotet-Bande hängt die gestohlenen Mails an, um so eine bereits existierende Kommunikation wieder aufzugreifen. Außerdem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein. Ziel des Ganzen ist es nach wie vor, den Empfänger zum Öffnen einer Word-Datei zu verleiten und in dieser das "Bearbeiten" zu aktivieren, was das heimliche Ausführen von Schadcode ermöglicht.

heise Security hat in Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle bereits praktische Tipps zum Schutz zusammengestellt, die nach wie vor gültig sind. Die ab Ende April startende heise-Security-Konferenz erklärt den Sicherheitsverantwortlichen von Unternehmen ganz konkret, was im Zug dieser neuen Generation von Cybercrime noch alles auf sie zukommt und wie Sie sich und ihr Unternehmen sinnvoll darauf vorbereiten. Die Eintagesveranstaltung findet in Berlin, Stuttgart, Hamburg, Köln, Stuttgart und Salzburg statt.

Quelle: Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter | heise online

Sommerferien vorbei – Emotet ist zurück

Seit Freitag früh sind die Server der wohl gefährlichsten Cybercirme-Bande wieder aktiv.

In den vergangenen Monaten war es recht still geworden um die vielleicht bösartigste Schadsoftware: Keine neuen Dynamit-Phishing-Wellen, keine spektakulären Infektionen – selbst die Emotet-Server-Infrastruktur war auf Tauchstation gegangen. Doch wie die Experten im Online-Fachgespräch Cybercrime von heise Security bereits vermuteten, war es zu Früh für Entwarnung: Am heutigen Freitag nun meldet das CERT-Bund neue Emotet-Aktivitäten.

Natürlich ist es Spekulation, dass sich die Kriminellen nach ihrem überaus erfolgreichen Jahresbeginn einen längeren Sommerurlaub gegönnt haben und jetzt ihre Server wieder hochfahren. Doch Fakt ist, dass diese seit Freitag morgen wieder aktiv sind und neue Schad-Module an bereits infizierte Systeme ausliefern. Was diese konkret machen, ist derzeit noch unbekannt. Aber man sollte sich auf jeden Fall auch auf neue Wellen von Emotets Dynamit-Phishing vorbereiten.

Lernen aus unseren Fehlern
Emotet hatte Anfang des Jahres seine Aktivitäten stark ausgeweitet. Mit extrem gut gemachten Phishing-Mails gelang es dem Schädling immer wieder, in Unternehmen einzudringen. In vielen Fällen wurden dort danach wichtige Daten verschlüsselt und Lösegeld erpresst. Zu den Opfern zählen neben unzähligen kleineren mittelständischen Unternehmen auch Stadtverwaltungen und Krankenhäuser, bei denen dann oft tage- und wochenlang gar nichts mehr ging. Auch Heise hatte einen Emotet-Vorfall.

Wie man sich vor Emotet und anderen fortgeschrittenen Cybercrime-Gefahren systematisch schützt, erklärt das heise-Security-Webinar Emotet bei Heise - Lernen aus unseren Fehlern. Darüber hinaus diskutieren Exerten im Online-Fachgespräch Schutz vor Cybercrime weitergehende Fragen zum Thema.

Quelle: Sommerferien vorbei – Emotet ist zurück | heise online

Ransomware: Neue Emotet-Welle legt Neustädter Stadtverwaltung lahm

Der Erpressungstrojaner Emotet hat das Netzwerk der Stadtverwaltung Neustadt am Rübenberge gekapert. Bis mindestens Freitag bleiben die Bildschirme schwarz.

Mehrere Ämter der Stadtverwaltung Neustadt am Rübenberge bei Hannover sind offiziellen Angaben zufolge Opfer eines Angriffs durch die Ransomware Emotet geworden.
Die Verwaltung ist noch bis mindestens Freitag lahmgelegt: "Wir dürfen unsere Rechner nicht mehr anschalten", sagte eine Sprecherin der Stadt. Die Behörden hätten derzeit nur für telefonische oder mündliche Beratungen geöffnet, die Zulassungsstelle für Kraftfahrzeuge bleibe ganz geschlossen. Auch ist es laut einer Meldung des NDR derzeit nicht möglich, Personalausweise oder Reisepässe zu beantragen.
Die Bürger hätten sich auf die Lage eingestellt: "Chaos ist nicht ausgebrochen", sagte die Sprecherin. In dringenden Fällen könnten sich die Menschen an Behörden in Nachbarorten wenden.
Die IT der Stadtverwaltung hatte den Trojanerbefall am vergangenen Freitag bemerkt und die Systeme offline genommen, um weitere Ausbreitung zu verhindern. Experten sind derzeit damit beschäftigt, den Schaden zu analysieren; auch das Landeskriminalamt ermittelt.

Zurück aus der Sommerpause
Der Verschlüsselungstrojaner Emotet hatte Anfang dieses Jahres seine Aktivitäten stark ausgeweitet: Mit extrem gut gemachten Phishing-Mails gelang es dem Schädling immer wieder, in die Netzwerke von Unternehmen und Behörden einzudringen. In vielen Fällen wurden anschließend wichtige Daten verschlüsselt und Lösegeld erpresst.
In der Stadt und Region Hannover zählte unter anderem auch Heise zu Emotets Angriffszielen. Zudem attackierte der Trojaner Ende vergangenen Jahres – ebenfalls mit Erfolg – die Stadtverwaltung von Burgdorf. Auch damals blieben die Behörden mehrere Tage offline.
Nach ein paar Monaten "Sommerferien", während der die Command-and-Control-Server abgeschaltet waren, treibt Emotet seit August wieder sein Unwesen.

Mehr zum Thema Emotet und wie man sich schützen kann:
Trojaner-Befall: Emotet bei Heise
Schutz vor Emotet: Besserer Umgang mit Doc-Dateien
Emotet-Webinare von heise Security: Aufzeichnungen als Bundle im heise shop

Quelle: Ransomware: Neue Emotet-Welle legt Neustädter Stadtverwaltung lahm | heise online

Update 17.09.2019:

Emotet-Befall: Neustädter Verwaltung weiterhin außer Gefecht

Über eine Woche nach dem Befall des EDV-Systems der Neustädter Verwaltung mit Emotet laufen noch nicht wieder alle Dienste – und das könnte andauern.

Die mit der Schadsoftware Emotet infizierten Rechner der Neustädter Verwaltung sind immer noch nicht wieder voll einsatzbereit. Einige Dienstleistungen können deshalb noch nicht angeboten werden. Nach Angaben der Stadtverwaltung Neustadt am Rübenberge in Niedersachsen bei Hannover stehen zwar wieder "funktionsfähige Arbeitsplätze im Stadtbüro" zur Verfügung, aber das Aufspielen der Anwendungen nehme noch einige Zeit in Anspruch. Ursprünglich sollten die Systeme bereits am 16. September wieder einsatzbereit sein, hatte es zunächst geheißen.
Betroffen sind weiterhin die Kfz-Anmeldung, -Ummeldung und -Abmeldung sowie das Ratsinformationssystem der Stadt. Die Bürger sollen deshalb auf die Kfz-Zulassungsstellen in Wunstorf oder in der Wedemark ausweichen. Das Ratsinformationssystem, in dem Sitzungstermine des Rates und der Ausschüsse sowie deren Beschluss- und Informationsvorlagen aufgelistet werden, ist weiterhin nicht funktionsfähig. Hier befinden sich lediglich Informationen bis zum 04. September, weil derzeit keine Aktualisierung möglich ist, teilte die Stadtverwaltung mit.
Das Standesamt soll dagegen wieder voll einsatzbereit sein. Die Rechner der Mitarbeiter seien funktionstüchtig und Anfragen könnten entgegengenommen und bearbeitet werden.

Ausfalldauer ungewiss
Unklar ist, wie lange der Ausfall einiger Dienstleistungen noch anhalten wird. Nach Angaben der Verwaltung arbeiten interne und externe IT-Experten "mit Hochdruck" daran, die Systeme wieder in den Griff zu bekommen. Bis es soweit ist, sollten sich Bürger vorab telefonisch im Stadtbüro melden, um abzuklären, ob die jeweils gewünschte Dienstleistung überhaupt erbracht werden kann.
Die Stadtverwaltung hatte nach dem Bemerken der Schadsoftware Emotet am 06. September die Systeme offline genommen. Wie der Schädling in das Behördennetz kam, ist zunächst noch unklar oder zumindest nicht kommuniziert. Das Landeskriminalamt ist eingeschaltet und ermittelt in der Sache.
Bereits Ende 2018 war die Stadtverwaltung von Burgdorf in der Region Hannover von Emotet betroffen gewesen, sodass Dienstleistungen über mehrere Tage nicht erbracht werden konnten. Auch Heise war von Emotet betroffen. Im Sommer war es zunächst still um die Schadsoftware geworden, sie scheint jedoch seit August wieder verstärkt aufzutreten.

Quelle: Emotet-Befall: Neustädter Verwaltung weiterhin außer Gefecht | heise online

Trojaner-Alarm: BSI warnt vor zunehmenden Emotet-Angriffen

"Seit rund einer Woche wird Emotet wieder massenhaft versandt" und tausende sind akut betroffen. Neuerdings sind auch Privatanwender im Visier.

"Erhebliche Schäden in der deutschen Wirtschaft, aber auch bei Behörden und Organisationen" bilanziert das BSI allein für die Emotet-Angriffe der jüngsten Tage. Mehrere tausend E-Mail-Konten von Unternehmen und Bürgern, die durch eine Infektion mit Emotet kompromittiert wurden, habe es bei den zuständigen Providern gemeldet. Neu ist, dass Emotet derzeit auch Schadsoftware zum Online-Banking-Betrug nachlädt.

In den vergangenen Monaten war es etwas ruhiger um Emotet geworden; doch jetzt ist die Sommerpause offenbar vorbei und die Betrüger arbeiten wieder mit Hochdruck. Das läuft dann nach dem bekannten Schema ab: Die Opfer erhalten eine E-Mail, die sich als Antwort auf eine früher tatsächlich verschickte Mail ausgibt. So kommt die Mail scheinbar von einem bekannten Absender, mit dem man tatsächlich in Kontakt steht. Die dafür benötigten Daten stammen aus früheren Emotet-Infektionen. Beim Öffnen der angehängten Datei erscheint eine Meldung, die zum Aktivieren des Inhalts ("Enable Content") auffordert, was dann die Infektion auslöst. Einmal im Netz breitet sich Emotet über verschiedene Mechanismen weiter aus.

Die Folgen von Emotet
Die Kriminellen hinter Emotet verdienen ihr Geld damit, dass sie infizierte Systeme an andere Cyber-Gangs weiterverkaufen, deren Schad-Software dann nachgeladen wird. Für Deutschland hatte bisher die Trickbot-Bande anscheinend einen Exklusiv-Deal. So kam im Gefolge einer Emotet-Infektion zumeist der Trickbot-Schädling und dann der Verschlüsselungs-Trojaner Ryuk auf die Firmenrechner. Die legt dann auf Kommando ganze Firmen lahm und präsentiert Lösegeldforderungen nicht selten im sechsstelligen Bereich.

Seit etwa einer Woche wird auch in Deutschland vermehrt ein Schad-Programm zum Online-Banking-Betrug nachgeladen. Das setzt offenbar einen Trick ein, der bereits früher von Zeus erfolgreich genutzt wurde: Beim Aufruf der Onlie-Banking-Seiten blendet der Trojaner einen Dialog ein, dass man Handy-Nummer und -Typ angeben müsse, um eine zusätzliche Sicherheits-App zu installieren (An die Leser: hat davon jemand Screenshots?). Kurze Zeit später wird ein Link zu dessen Installation an das Handy geschickt. Nach der Installation leitet diese mTANs an die Betrüger weiter.

Jetzt vorbeugen
Das BSI rät dringend, Schutzmaßnahmenvor einem Befall mit Emotet zu ergreifen und präsentiert diese auf einer eigenen Seite.

Auch Heise hatte kürzlich einen Emotet-Vorfall, den wir ausführlich dokumentiert haben. Im Webinar "Emotet bei Heise -- Lernen aus unseren Fehlern" erläutern wir darüber hinaus ausführlich, welche Versäumnisse die Infektion und vor allem die nachfolgenden Ausbreitung begünstigt haben und wie man sich besser davor schützen kann. Das Webinar richtet sich an IT- und Sicherheitsverantwortliche in Unternehmen und kostet 149 Euro.

Quelle: Trojaner-Alarm: BSI warnt vor zunehmenden Emotet-Angriffen | heise online

Emotet befällt Medizinische Hochschule Hannover

Die Schadsoftware Emotet hat das Netzwerk der Medizinischen Hochschule Hannover befallen. Laut Klinik sind 170 Rechner betroffen.

Emotet hat wieder zugeschlagen: Seit Montag kämpft die IT der Medizinischen Hochschule Hannover (MHH) mit dem Befall durch die Schadsoftware. Das bestätigte ein Kliniksprecher gegenüber der Hannoverschen Allgemeinen Zeitung (HAZ) am Donnerstag. Demnach wurden in dem Universitätsklinikum 170 Rechner unter Quarantäne gestellt.

Die IT-Experten der MHH hätten den Befall unter Kontrolle, sagte der Sprecher weiter. Seit Mittwoch habe es keine Neuinfektionen gegeben. Patientendaten seien nach derzeitigem Kenntnisstand nicht betroffen. Da Emotet aber zwecks Verbreitung Mails absucht, könne deren Verbreitung nicht ausgeschlossen werden.

Erst vor wenigen Tagen hatte das BSI vor zunehmenden Emotet-Angriffen gewarnt. Die Aktivitäten haben seit gut einem Monat stark zugenommen. So setzte ein Emotet-Befall die Neustädter Verwaltung außer Gefecht. Auch Krankenhäuser waren von Cyber-Attacken betrroffen, wie ein Fall in Rheinland-Pfalz zeigte.

Im Mai gab es einen Emotet-Vorfall im Heise-Verlag, den wir ausführlich dokumentiert haben. Im Webinar "Emotet bei Heise – Lernen aus unseren Fehlern" erläutern wir ausführlich, welche Versäumnisse die Infektion und vor allem die nachfolgenden Ausbreitung begünstigt haben und wie man sich besser davor schützen kann. Auch das BSI stellt im Rahmen der Allianz für Cybersicherheit Informationen eine Übersicht zu Maßnahmen zum Schutz vor Emotet vor.

Quelle: Emotet befällt Medizinische Hochschule Hannover | heise online

Gefährlichste Schadsoftware der Welt: BSI warnt vor gefährlichem Banking-Trojaner

Das BSI schlägt erneut Alarm: Der gefährliche Banking-Trojaner Emotet treibt nach wie vor im Netz sein Unwesen. Der Trojaner versteckt sich in harmlos aussehenden E-Mails und kann inzwischen nicht mehr nur Ihre Online-Banking-Daten auslesen, sondern auch einen zusätzlichen Verschlüsselungstrojaner auf das System nachladen. Wir erklären, wie Sie bei einem Befall richtig reagieren und wie Sie sich schützen können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine bereits im Dezember 2018 ausgesprochene Warnung vor dem Onlinebanking-Trojaner Emotet erneuert. Nach einer "Sommerpause" lande nun wieder massenhaft Spam mit dem Schädling im Schlepptau in den Mail-Postfächern - von vielen Virenscannern oft noch unerkannt.

Als wichtigste Schutzmaßnahme gilt deshalb: Auch und gerade bei vermeintlich bekannten Absendern Anhänge - insbesondere Office-Dokumente - nicht gleich öffnen und auf Links nicht sofort klicken. Im Zweifel sollte man beim angeblichen Absender anrufen, um den Versand der Mail, ihren Inhalt und die Anhänge zu verifizieren.

Ist Emotet erst einmal auf den Rechner gelangt, nimmt das Unheil seinen Lauf: Der Trojaner lädt nicht nur die Onlinebanking-Zugangsdaten ausspionierende Schadsoftware Trickbot nach. Immer häufiger lotse Emotet auch den Verschlüsselungstrojaner Ryuk auf den Rechner, warnt das BSI. Dessen perfide Spezialität ist neben dem Verschlüsseln von Dateien das Löschen von Backups, falls er welche findet - quasi um die Zahlungsbereitschaft der Erpressten zu erhöhen.

"Erneut erreichen uns zahlreiche Meldungen zu erfolgreichen #Emotet-Infektionen. Die Schäden können erheblich sein.
Emotet-Spam-Mails antworten auf echte E-Mails und wirken daher besonders authentisch.
Weitere Informationen und Schutzempfehlungen unter: BSI - Presseinformationen des BSI - Zunahme von erfolgreichen Cyber-Angriffen mit Emotet – BSI rät zu Schutzmaßnahmen pic.twitter.com/FSn0de0rNQ
— BSI (@BSI_Bund) September 24, 2019"

Bei Emotet-Befall: So handeln Sie richtig
Da Emotet auch Kontaktinformationen und -beziehungen sowie Kommunikationsinhalte aus E-Mail-Programmen abgreift, kämen die authentisch wirkenden Spam-Mails zustande, erklärt das BSI weiter. Es handele sich um einen teils automatisierten Social-Engineering-Angriff, der auch deshalb so erfolgreich sei, weil Spam-Mail-Empfänger vorgeblich von den Absendern Nachrichten erhielten, mit denen sie tatsächlich zuletzt in Kontakt standen.

Grundsätzlich rät das BSI Anwendern, regelmäßig alle ihre Daten auf einem externen Datenträger zu sichern, um einem Totalverlust durch einen Schädlingsbefall vorzubeugen.

Anwender, deren System von Emotet befallen worden ist, sollten der Behörde zufolge sofort ihr Umfeld über die Infektion informieren, denn Mail-Kontakte und speziell die letzten Konversationspartner sind besonders gefährdet. Zudem sei es sinnvoll, alle Passwörter zu ändern, die auf befallenen Rechnern gespeichert waren - etwa in Browsern.

Schlussendlich empfiehlt das BSI, Rechner mit Emotet-Infektion besser neu aufzusetzen, weil der Trojaner und nachgeladene Schadsoftware teils tiefgreifende und sicherheitsrelevante Änderungen am System vornehmen.

Quelle: BSI warnt vor gefährlichster Schadsoftware der Welt - CHIP

Emotet: Berliner Kammergericht bleibt bis 2020 weitgehend offline

Mitarbeiter des hohen Berliner Gerichts können ihre Computer nur noch als Schreibmaschine nutzen. Der Notbetrieb soll bis 2020 dauern.

Vor einem Monat sah sich das Berliner Kammergericht gezwungen, nach einem Angriff mit dem mächtigen Trojaner Emotet sein gesamtes Computersystem vom Internet abzukoppeln. Dieser für die Betroffenen schwierige Zustand wird auch noch eine Weile so bleiben. Er rechne damit, dass die Institution "nicht vor 2020" wieder normal online gehen könne, erklärte der Präsident des Hauses, Bernd Pickel, gegenüber dem Tagesspiegel. Bis dahin wolle man den aktuellen "provisorischen Betrieb ausbauen und erträglicher machen".

Alle Daten noch da
Die Rechtspflege funktioniere generell auch ohne das Netz, betonte Pickel in dem Interview: "Unsere Improvisationsfähigkeit ist groß." Dies treffe allerdings auch auf die Erschwernisse während des derzeit eingerichteten Notbetriebs zu. "Alle Daten sind noch da", sprach der Jurist von Glück im Unglück und dem prinzipiellen Erhalt des "Golds" der Kollegen. "Dem Trojaner ist es nicht gelungen, Dokumente abzuschöpfen oder zu verschlüsseln." Die IT-Verantwortlichen trauten sich aber noch nicht, mit dem Datenbestand wieder ans Netz zu gehen. Es sei unklar, ob sich die Malware noch darin befinde und "sich nur schlafend stellt".

Aktuell gilt als gesichert, dass Emotet das Netz des obersten Straf- und Zivilgerichts des Landes Berlin per E-Mail infizierte und nicht etwa via USB-Sticks, mit denen viele Richter Dokumente vom Heimarbeitsplatz mit ins Gericht nehmen und umgekehrt. Die Nutzung der portablen Speichergeräte ist trotzdem inzwischen an der Einrichtung untersagt.

Das IT-Dienstleistungszentrum der Berliner Verwaltung (ITDZ), das den Mailverkehr der Justizinstanz betreut, informierte diese am 25. September über Hinweise auf den Befall mit dem "König der Schadsoftware". Daraufhin habe man die Rechner sofort vom Internet genommen, berichtete Pickel. Nach zwei Tagen seien die Computer auch vom internen Landesnetz getrennt worden. Dies sei eine schwierige Entscheidung gewesen, da so auch einschlägige Fachverfahren nicht mehr genutzt werden könnten.

Eigene IT unerlässlich
Das in weiten Teilen in Eigenregie betreute IT-System sei nicht so "getrimmt" gewesen, "dass es Angriffen von außen standhält", räumte der Leiter des Gerichts ein. "Wir müssen deshalb, wie andere Emotet-Opfer, unseren Virenschutz neu aufstellen." Er hält es für unerlässlich, "dass man eine kleine, aber innovative IT-Stelle hat", um als "Schnellboot" etwa eigene Fachverfahren oder die künftige elektronische Akte einführen zu können. Der Mailverkehr und andere übergeordnete IT-Anwendungen sollten aber künftig "wie bei den Amtsgerichten und dem Landgericht beim ITDZ organisiert werden".

Bislang gebe es für die Mitarbeiter "kein Handbuch, auf dem steht: Das ist die IT-Policy", ließ Pickel durchblicken. Es existierten aber diverse Regeln. So erhielten neue Kollegen etwa bei der Einstellung Hinweise insbesondere zur Datenschutz-Grundverordnung (DSGVO) und eine einschlägige, allerdings schon aus 2006 stammende IT-Dienstvereinbarung. Ihm sei es aber wichtiger, "die Mitarbeiter durch Anleitungen, Empfehlungen und praktische Hilfen zu unterstützen".

Künftig will das Kammergericht laut seinem Präsidenten eine "Ein-Geräte-Strategie" verfolgen, "also dass Richter Dienst-Notebooks haben, die sie hier und zu Hause verwenden können und mit denen sie immer und nur in unserem System arbeiten". Die Rechner sollen "hier dann auch upgedated und mit richtigem Virenschutz versehen" werden. Dieses Maßnahme sei eigentlich für später geplant gewesen, solle aber jetzt vorgezogen werden.

Mehrere Dutzend Notfall-PCs
Momentan seien 30 Notfall-PCs eingerichtet worden, "die jetzt im Netz des ITDZ arbeiten", noch einmal so viele kämen "demnächst hinzu", führte Pickel aus. Das eigene Fachverfahren laufe wieder, sodass auch Rechnungen wieder bezahlt werden könnten. Mitarbeiter seien zudem immerhin wieder imstande, "lesend auf die möglicherweise kontaminierten Daten zuzugreifen".

"Wir können unsere Computer schon weiter nutzen – als Schreibmaschinen halt", hatte sich zuvor ein betroffener Richter gegenüber der Frankfurter Allgemeinen Zeitung beklagt. Man gehe jetzt wieder oft in die Bibliothek. Für Akten aus Prozessen und laufende Verfahren ist an dem Gericht aber eh noch die Papierform verbindlich.

Ein Sprecher der Senatsjustizverwaltung unterstrich gegenüber heise online, dass die Gerichte in Berlin in ihrer amtlichen Unabhängigkeit im Kern selbst auch für ihre IT verantwortlich seien. Beim Datenschutz gebe es hier sogar die besondere Situation, "dass sie sich selbst kontrollieren". Es sei aber ein Krisenstab für das Kammergericht eingerichtet worden, sodass dort nun "die komplette Serverstruktur auf dem Prüfstand steht".

"Ein Arbeitsalltag wie vor 50 Jahren"
Der Vorfall zeigt für den Sprecher von Justizsenator Dirk Behrendt (Grüne) auch, wie wichtig es sei, für die Häuser "gemeinsame Standards für den Datenschutz und die IT-Sicherheit zu entwickeln". Am Sozialgericht sei die auch fürs Kammergericht vorgesehene Ausrüstung mit Dienst-Notebooks nebst einheitlichem Zugriff auf die Serverlandschaft bereits erfolgt, für die Zeitpläne seien aber auch hier die Justizeinrichtungen selbst zuständig.

Sven Rissmann, rechtspolitischer Sprecher der CDU-Fraktion Berlin, warf Behrendt dagegen vor, sich für die "katastrophalen Zustände am höchsten Berliner Gericht offensichtlich nicht zu interessieren". Durch "Missachtung allgemein üblicher IT-Sicherheitsstandards" herrsche dort nun "ein Arbeitsalltag wie vor 50 Jahren". Der Senator habe es nicht nur versäumt, den Rechtsausschuss des Abgeordnetenhauses umgehend über die Vorgänge zu informieren, sondern sich auch öffentlich bisher nur unzureichend zu den Vorgängen geäußert. Aufklärung verspricht sich die Opposition nun von einer öffentlichen Sitzung des Rechtsauschusses kommenden Mittwoch.

Quelle: Emotet: Berliner Kammergericht bleibt bis 2020 weitgehend offline | heise online

Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück

Die Hintermänner machen aus der Schadsoftware eine Malware-as-a-Service. Ein neuer modularer Aufbau erlaubt das Hinzufügen neuer Funktionen. Außerdem übernimmt Emotet Tarnfunktionen von Trickbot.

Forscher von Netscout haben sich mit den jüngsten Varianten des Banking-Trojaners Emotet beschäftigt. Die erstmals 2014 beschriebene Schadsoftware hatte sich im Mai zurückgezogen und ist nun seit September wieder verstärkt aktiv. Grund dafür ist eine Weiterentwicklung von Emotet hin zu einer modular aufgebauten Malware, mit der sich zusätzliche Payloads an Geldinstitute, Unternehmen und Verbraucher verteilen lassen.

Für die Umwandlung von einer Standalone-Malware zur Malware-as-a-Service soll eine Gruppe namens Mealybug verantwortlich sein. Sie ermöglicht es nun anderen Cyberkriminellen, den Code von Emotet so anzupassen, dass der Trojaner verschiedene Exploits sowie unterschiedlichste Funktionen unterstützt. Emotet ist somit nicht nur eine Banking-Malware, sondern auch für die Verteilung von weiterer Schadsoftware geeignet.

Der Analyse von Netscout zufolge nutzt Emotet nun verschiedene Tarntechniken, die bereits von Trickbot bekannt sind. Zudem wurden die Listen mit Befehlsservern und auch die RSA-Schlüssel erneuert. Das gilt auch für die Wortliste, mit der Namen für den eigenen Prozesse als Bot erstellt werden. Unter anderem werden nun Worte wie Engine, Finish, Magny, Resapi, Query und Skip benutzt. Die Forscher werten diese Liste nun aus, um neue Signatur-Dateien zu erstellen, die Nutzer von Emotet-Infektionen schützen können.

Darüber hinaus stellten die Forscher fest, dass fast täglich neue Binärdateien für Emotet verteilt werden. Jede neue Binärdatei enthalte rund 40 bis 80 Indikatoren für Befehlsserver. Die Befehlsserver wiederum seien weltweit verbreitet und nicht auf bestimmte Regionen konzentriert.

„Die Veränderungen in der Art und Weise, wie die Emotet-Autoren ihre Binärdateien und andere Schadsoftware packen, ständig Teile des Codes optimierte und die Konfigurationsdateien ändern, um Signaturen zu umgehen, zeigt das aggressive Verhalten der Malware-Autoren, indem sie nicht nur eine Erkennung ihrer Binärdateien vermeiden, sondern auch die der verteilten Malware“, erklärten die Forscher. Das mache ihre Operation so effektiv und dauerhaft, trotz aller Bemühungen, die Bedrohung zu beseitigen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon im September vor der neuen Angriffswelle gewarnt. Zu dem Zeitpunkt wurde das neue Buch von Edward Snowden als Lockmittel eingesetzt. Die Verbreitung erfolgte laut Sicherheitsforschern von Malwarebytes über Spam-E-Mails in verschiedenen Sprachen, darunter Deutsch.

Quelle: Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück | ZDNet.de

Trojaner greift Netzwerk von Humboldt-Universität an

Nachdem bereits vor E-Mails an Adressen der Humboldt Universität gewarnt wurde, sind nun erste Infektionen durch Emotet an der Universität aufgetreten.

Der Computer-Trojaner Emotet hat nach dem Berliner Kammergericht nun auch Teile des Netzwerks der Humboldt-Universität infiziert. "Am 29. Oktober warnte der CMS (Computer- und Medienservice) vor der Malware Emotet, die zu dem Zeitpunkt an HU-Mailadressen verschickt wurde", heißt es in einer internen E-Mail der IT-Abteilung der Universität vom Freitag. Inzwischen seien die ersten Infektionen innerhalb des HU-Netzes aufgetreten. In welchem Umfang das Uni-Netz betroffen und in welchem Ausmaß es beeinträchtigt ist, wurde zunächst nicht bekannt. Zuvor hatte der Tagesspiegel berichtet.

"König der Schadsoftware"
Der Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, hatte den Trojaner Emotet jüngst als "König der Schadsoftware" bezeichnet.

"Emotet verbreitet sich von infizierten Rechnern aus hauptsächlich über zwei Wege", erläuterte die IT-Abteilung der Universität. "E-Mails werden an Kontakte (aus Posteingang und Adressbuch) verschickt und zusätzlich findet eine Verbreitung über Netzwerkfreigaben statt."

Emotet ist zunächst darauf ausgerichtet, die infizierten E-Mail-Systeme auszuspionieren. Das Programm kann dann weitere Schadsoftware nachladen – beispielsweise Banking-Trojaner, die versuchen, digitale Geldströme in die Taschen der Cyberkriminellen umzuleiten.

Notbetrieb im Kammergericht Berlin
Im September war auch das Kammergericht in Berlin betroffen. Selbst mehr als vier Wochen später konnte die Arbeit dort nur im Notbetrieb verrichtet werden. Nach wie vor ist das Gericht damit beschäftigt, rund 500 neue Computer zu installieren.

Quelle: Trojaner greift Netzwerk von Humboldt-Universität an | heise online

Microsoft-Sicherheitsteam warnt: Trojaner per Weihnachtsmail

E-Mails haben in der Weihnachtszeit Hochkonjunktur. Doch nicht alle Nachrichten bringen Freude. Sicherheitsexperten weisen auf eine erhöhte Verbreitung von Schadsoftware hin. Aktuell wieder vermehrt in Umlauf: der Trojaner Emotet.

E-Mails mit Weihnachtsgrüßen sind in diesen Tagen keine Seltenheit. Doch wie das Sicherheitsteam von Microsoft auf seinem offiziellen Twitterkanal mitteilt, ist beim Empfang solcher Nachrichten Vorsicht geboten. Demnach treten derzeit vermehrt Weihnachts-E-Mails mit schädlicher Überraschung auf: Im Dateianhang befindet sich der Trojaner Emotet.

Den entsprechenden Twitter-Thread von Microsoft Security Intelligence (@MsftSecIntel) haben wir unten eingebettet. Darin heißt es, dass sich die Schadsoftware in Dateien mit Namen wie "Christmas Party" (deutsch: Weihnachtsfeier) oder "Holiday Schedule" (Feiertagsplanung) versteckt.

Dass Emotet mit einer Art speziellen "Weihnachtsaktion" verbreitet wird, ist nicht neu. Bereits 2018 gab es die gefährlichen Adventsbotschaften.

Auch in diesem Jahr gilt also: Vorsicht bei E-Mail-Anhängen - insbesondere natürlich von unbekannten Kontakten, aber auch ein vermeintlich bekannter Absender ist keine Garantie für einen unbedenklichen Anhang. Beim kleinsten Zweifel sollten Sie sich stets beim Absender rückversichern!

Tweet von Microsoft Security Intelligence_
- Emotet’s annual season’s greetings are here: the gang has launched its campaign for
- holidays with email subjects and malicious attachment file names like “Party menu”,
- “Christmas party”, “Holiday schedule 2019-2020”. pic.twitter.com/tCgoENbYw5

— Microsoft Security Intelligence (@MsftSecIntel) December 14, 2019

Quelle: Microsoft-Sicherheitsteam warnt: Emotet-Trojaner per Weihnachtsmail - PC Magazin

BSI warnt: Verseuchte E-Mails von Bundesbehörden

Derzeit kursieren gefälschte Mails, die vorgeben von Bundesbehörden zu stammen. Sie verseuchen die Rechner der Empfänger mit dem gefährlichen Trojaner Emotet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Mails mit angehängter Schadsoftware, die von Bundesbehörden kommen. Sie haben richtig gelesen: Absender der virenverseuchten Mails sind verschiedene Bundesbehörden, das BSI nennt allerdings keine Namen.

Denn dem BSI sind in den vergangenen Tagen mehrere bestätigte Emotet-Infektionen in Behörden der Bundesverwaltung gemeldet worden. Dazu kommen noch weitere Verdachtsfälle. Das BSI steht mit den betroffenen Behörden in engem Kontakt. Laut BSI handelt es sich um Erstinfektionen, die dazu führen würden, dass weitere Spam-Mails im Namen der Betroffenen verschickt werden. In den Behörden sei es laut BSI aber noch nicht zu Schäden gekommen, weil die Infektionen isoliert und bereinigt werden konnten.

Die Schadsoftware kommt entweder als Mailanhang (dabei handelt es sich um eine Office-Datei) oder über einen Link in der Mail, der auf eine virenverseuchte Webseite führt. Das BSI warnt vor dem Öffnen dieser E-Mails und Links.

Emotet ist fast schon ein Klassiker unter den Schadprogrammen und besitzt eine besonders gefährliche Eigenschaft: Der Trojaner kann auf bereits vorhandene Mail-Konversationen antworten und daher authentisch wirkende Mails zu verschicken. Den eigentlichen Schaden richtet Emotet dann mit nachgeladener Schadsoftware an. Diese verschafft den Angreifern meist Komplettzugriff auf das Netzwerk der Opfer. Damit können die Angreifer dann dessen Rechner verschlüsseln und Lösegeld erpressen.

Der Empfänger einer derart gefälschten Mail kann diese aber durchaus erkennen: Das BSI rät den Absendernamen genau zu prüfen und eben nicht nur auf den angezeigten Namen zu schauen. Sehen Sie sich auch den Inhalt der Mail genau an, ohne aber auf Links oder Mailanhänge zu klicken. Rufen Sie im Zweifel den Absender/die Absenderin an und fragen Sie, ob er/sie die Mail tatsächlich verschickt hat. Das BSI hat hier Ratschläge zum Umgang mit Emotet veröffentlicht.

Generell gilt als Sicherheitseinstellung für Microsoft Office: Sie sollten das Ausführen von Makros beim Öffnen von Office-Dokumenten unterbinden.

Quelle: BSI warnt: Verseuchte E-Mails von Bundesbehörden - PC-WELT

Emotet in "Greta Thunberg"-Spam: Warnung vor Mails zu gefakten Klimaschutzdemos

Emotet verbreitet sich vermehrt im Dezember. Behörden leiden und Nutzer sollten Acht vor Spam nehmen. Nach Weihnachtsgrüßen lockt „Greta Thunberg“.

Der Erpressunstrojaner Emotet treibt wieder sein Unwesen. Nachdem u.a. Microsoft vor wenigen Tagen über Risiken in E-Mails mit Weihnachtsgrüßen warnte, folgt eine IT-Sicherheitsfirma. Auf Twitter hat das Computer Emergency Response Team (CERT) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf einen Fund des Unternehmens Cofense Labs aufmerksam gemacht (siehe unten). Unter anderem deutschsprachige Spam-Mails zeigen, wie ahnungslose Nutzer zum Öffnen von schädlichen Mail-Anhängen bewegt werden sollen. Natürlich wartet dort der Erpressungstrojaner.

Als Aufhänger nutzen diese Spam-Mails Greta Thunberg, die sowohl gefeierte als auch bei einigen Menschen umstrittene, junge Klimaaktivistin. Unter dem Betreff „Unterstützen Sie Greta Thunberg – Zeitmensch des Jahres 2019“ (oder mit Abweichungen) wollen die unbekannten Drahtzieher ihr Opfer zur Teilnahme an einer Klimaschutzdemonstration bewegen. Dafür muss der Nutzer die Mail bzw. der Anhang geöffnet werden.

Dahinter verbirgt sich anstatt einer Datei mit Termindetails jedoch Emotet: ein Trojaner, der Daten auf dem Rechner verschlüsselt und erst gegen Lösegeld wieder zugänglich macht. Die Mail fordert den Nutzer außerdem dazu auf, die Mail weiterzuleiten. Dem ist natürlich nicht Folge zu leisten.

Sicher mit E-Mails und Messengern
Die E-Mails machen vordergründig einen seriösen Eindruck. Es fallen keine Rechtschreibfehler auf. Lediglich einige Formulierungen könnten stutzig machen. Die unbekannten Kriminellen nutzen die Weihnachtszeit und ein aktuelles Aufregerthema, um Nutzer zu unüberlegten Taten zu bewegen. Andere Aufhänger sind Weihnachtsgrüße, per gezieltem „Spear Phishing“ sind gerne auch Personalabteilungen das Ziel, die oft im Minutentakt Mail-Anhänge mit mutmaßlichen Bewerbungen öffnen.

Wie Sie sich vor Emotet schützen können, haben wir vor ziemlich genau einem Jahr erklärt. Ende 2018 trat der Schädling erstmals flächendeckend auf. Er folgte in einer Reihe verschiedener Erpressungstrojaner wie Locky, Petya und mehr.

Damals wie heute sind Rechner aus allen Bereichen betroffen (gewesen). Suchen wir beispielsweise über Suchmaschinen nach aktuellen Nachrichten zum Thema Emotet, gibt es Fälle in Universitäten, Kliniken, Behörden und viele mehr.

Emotet-Warnung:

- Achtung: #Spam-Mails mit angeblichem Unterstützungsaufruf für Greta Thunberg
- verbreiten die Schadsoftware #Emotet. HRFqS0TlOF
- — CERT-Bund (@certbund) December 20, 2019

Quelle: Emotet in "Greta Thunberg"-Spam: Warnung vor Mails zu gefakten Klimaschutzdemos - PC Magazin

Emotet: IT-Totalschaden beim Kammergericht Berlin

Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird [...] angeraten", heißt es im forensischen Bericht zum Emotet-Befall.

Zunächst hieß es von offizieller Seite noch, dass keine Daten abgeflossen seien. Dem widerspricht ein jetzt öffentlich gemachtes Gutachten des Cyber Emergency Response Teams von T-Systems, das die infizierten Systeme des Kammergerichts Berlin untersucht hat. Demnach konnten die Trojaner Emotet und Trickbot über mehrere Tage hinweg weitgehend ungehindert im Netz des Gerichts wüten und Daten abziehen. Selbst Indizien für einen manuellen, interaktiven Zugriff durch die Angreifer gibt es.

Allerdings lässt der vorläufige Abschlussbericht noch vieles offen. So legt er zwar den vermutliche Zeitpunkt der Infektion auf den 20. September 2019 fest. Wie diese genau erfolgt ist, konnten die Forensiker nicht ermitteln. Typischerweise erfolgen Emotet-Infektionen über speziell präparierte Word-Dateien mit Makros. Ebenfalls offen bleibt, ob der Domain Controller und damit das komplette Active Directory infiziert wurde.

Zu einer Verschlüsselung von Daten kam es offenbar nicht; da hat das Kappen der Internet-Verbindung vermutlich schlimmeres verhindert. T-Systems weist jedoch ausdrücklich darauf hin, "dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, [...] den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren". Der Diebstahl von Mails und Passwörtern gehört zum Standard-Repertoir von Emotet und Trickbot. Die Tatsache, dass Event Logs fehlen, legt darüber hinaus nahe, "dass auch ein Zugriff durch Dritte von extern erfolgt ist".

Reihenweise #fails
Bei ihrer Analyse des Vorfalls machten die Experten gleich reihenweise Schwachpunkte der IT-Infrastruktur aus. Dazu zählt das Versagen der Endpoint Protection Lösung von McAfee, fehlende Filter und Netzwerksegmentierung, lokale Administratoren und mangelnde Log-Dateien. Diese Schwächen ermöglichten es, dass "aus einem Standardvorfall ein massiver Incident" wurde.

Da sich auch kaum herausfinden lasse, welche System tatsächlich infiziert wurden, bleibe letztlich nur, "die gesamte Windows Domäne neu aufzusetzen". Dabei könne das Kammergericht die aktuelle Situation nutzen, "ein leistungsfähiges und sicheres neues Netzwerk zu konstruieren und den Schaden bei zukünftigen Vorfällen stark zu begrenzen" schließt der Bericht mit einem optimistischen Blick in die Zukunft. Die zuständige Berliner Senatsverwaltung erklärt in einer Stellungnahme, man wolle dazu dem Kammergericht "externen Sachverstand zur Seite stellen".

Quelle: Emotet: IT-Totalschaden beim Kammergericht Berlin | heise online

EmoCheck: Neues Tool kann Emotet-Infektionen aufspüren

Das Japan CERT hat ein kostenloses Windows-Tool veröffentlicht, das nach Emotet spezifischen Prozessen Ausschau hält.

Die hoch entwickelte Malware Emotet schlägt immer wieder zu und hält weltweit Admins in Atem. Wohl dem, der eine Infektion frühzeitig erkennt und so Schlimmeres verhindern kann. Das vom Japan CERT veröffentlichte Windows-Prüftool EmoCheck kann bei der Früherkennung helfen.

Wer seinen Computer überprüfen möchte, kann EmoCheck kostenlos auf Github herunterladen. Wie der Projektseite zu Entnehmen ist, kommt das Tool in einer ausführbaren Datei in einer x86- und x64-Variante daher. Es soll mit Windows 7 SP1 und 8.1 und 10 kompatibel sein. Unter Windows 8.1 und 10 funktioniert EmoCheck ausschließlich in der 64-Bit-Variante. Auf der Projektseite kann man auch den Quellcode einsehen.

Emotet-Jäger
Von Emotet initiierte Windows-Prozesse benennt die Malware nach einem festen Schema. Dafür greift sie auf ein spezifisches Wörterbuch und die Seriennummer der System-Festplatte C zurück. Um eine Infektion festzustellen, scannt das Tool laufende Windows-Prozesse und klopft diese auf das Namensschema ab.

Bei einem Treffer listet EmoCheck im Zusammenhang mit Emotet stehende ausführbare Dateien inklusive Dateipfad auf. Diese Dateien sollte man dann zügig isolieren oder löschen.

Frühzeitiges Handeln lohnt sich
Das rechtzeitige Erkennen einer Emotet-Infektion kann durchaus den entscheidenden Unterschied zwischen einem heftigen IT-Security-Vorfall und dem finanziellen Ruin bedeuten. Denn typischerweise vergehen zwischen der ersten Emotet-Infektion in einem Firmennetz und dem Verteilen des Erpressungs-Trojaners Ryuk ein bis zwei Wochen.

Wer also wie die heise Medien GmbH oder das Kammergericht Berlin eine Infektion innerhalb der ersten Woche entdeckt und seine Internet-Verbindung kappt, hat gute Chancen, das Verschlüsseln wichtiger Daten zu verhindern. Die beiden Fälle zeigen aber auch, dass allein die Ausbreitung des Schädlings im Firmennetz verbunden mit dem Nachladen weiterer Schadprogramme bereits zu beträchtlichen Schäden führen kann.

Womit haben wir es zu tun?
Emotet ist eine äußerst fortschrittliche Malware, die nach einer Infektion weitere Komponenten wie Erpressungstrojaner nachladen kann. In erster Linie ist Emotet auf der Jagd nach Zugangsdaten, Cookies und SSH-Schlüsseln, um sich weiter in Netzwerken auszubreiten und einzunisten.

Quelle: EmoCheck: Neues Tool kann Emotet-Infektionen aufspüren | heise online

Emotet: Erster Hase-Igel-Loop für EmoCheck

Eine neue Emotet-Version machte ein erstes Update des Erkennungs-Tools EmoCheck fällig.

Nach der Veröffentlichung des Emotet-Test-Tools durch das Japanische CERT reagierten die Emotet-Macher mit einer neuen Version des Schädlings, bei der sie die Routinen zur Erzeugung von Namen änderten. Daraufhin aktualisierte JPCERT/CC EmoCheck so, dass es die neuen Namen der Emotet-Dateien und Prozesse wieder erkennt.

Emotet speichert aktuell den Namen des aktiven Trojaner-Prozesses in einem bestimmten Registry-Key. EmoCheck v.0.0.2 liest diesen aus und sucht in der Liste der Prozesse danach. Anschließend gibt es eine Warnung wie diese aus:
"
[Result]
Detected Emotet process.

[Emotet Process]
Process Name : mstask.exe
Process ID : 716
Image Path : C:\Users\[username]\AppData\Local\mstask.exe
____________________________________________________

Please remove or isolate the suspicious execution file.
"

Schlechte Erkennung, kein Schutz
Das Erkennen von charakteristischen Zeichenketten ist kein verlässlicher Mechanismus zum Schutz vor Emotet. Aktuelle Versionen des Schädlings werden solche Funktionen immer wieder unterlaufen.

So taugt EmoCheck bestenfalls als kruder Schnelltest, um bereits (mit alten Emotet-Versionen) infizierte Systeme aufzuspüren. Aber auch dabei kann man sich nicht wirklich auf das Ergebnis verlassen: Schon eine Aussage wie "dieses System ist sauber" lässt sich damit nicht treffen.

Quelle: Emotet: Erster Hase-Igel-Loop für EmoCheck | heise online

Neue Emotet-Variante verbreitet sich über WLAN-Verbindungen

Der Trojaner knackt WLAN-Passwörter per Brute Force. In einem zweiten Schritt versucht Emotet, die Anmeldedaten für Computer und Server in dem gehackten WLAN zu erraten. Ist auch dieser Angriff erfolgreich, kann sich Emotet von einem Netzwerk auf ein anderes verbreiten.

Forscher von Binary Defense haben eine neue Variante des Trojaners Emotet entdeckt. Sie erweitert die Möglichkeiten der Schadsoftware erheblich. Bisher konnte sich Emotet nur innerhalb eines Netzwerks verbreiten und damit verbundene Computer und Server infizieren – eine Netzwerk-Segmentierung schränkte die Verbreitung von Emotet deutlich ein. Nun ist es der Malware jedoch möglich, diese Grenzen per WLAN zu überspringen und so von einem Netzwerk zu einem anderen zu gelangen.

Das dafür benötigte neue Modul bezeichnen die Forscher als WiFi Spreader. Es funktioniert allerdings nur unter bestimmten Bedingungen. Vor allem ist es darauf angewiesen, dass WLAN-Netzwerke mit schwachen Passwörtern gesichert sind – was den Hintermännern von Emotet trotzdem neue Optionen bietet, ihre Reichweite zu vergrößern.

Die neue Angriffen richten sich gegen WLAN-Netzwerke in Reichweite des infizierten Netzwerks – Emotet kann so also auch vom Netzwerk eines Unternehmens auf das Netzwerk eines anderen Unternehmens überspringen.

Zu diesem Zweck lädt Emotet das WiFi-Spreader-Modul herunter, das anschließend alle WLAN-Geräte im eigenen Netzwerk sowie die lokal erreichbaren WLAN-Netz erfasst. Danach erfolgen Brute-Force-Angriffe auf die WLAN-Netze in der Nähe. Die Passwörter bezieht Emotet von zwei internen Listen mit leicht zu erratenden Kennwörtern.

War ein Angriff erfolgreich, hat Emotet einen direkten Zugang zu einem anderen Netzwerk, aber noch keinen Zugriff auf einen Computer oder Server in diesem Netzwerk. Mit einem weiteren Brute-Force-Angriff wird nun versucht, Anmeldedaten für Computer und Server in diesem Netzwerk zu erraten. Ist auch diese Attacke erfolgreich, hat Emotet auch einen Brückenkopf in dem neuen Netzwerk und der Infektionskreislauf kann von Neuem beginnen.

Den Forschern zufolge funktioniert der WiFi Spreader nicht unter Windows XP SP2 und SP3. Außerdem lege der Zeitstempel des Moduls nahe, dass es bereits vor zwei Jahren entwickelt wurde. Es sei allerdings das erste Mal, dass das Modul auch erkannt wurde.

Quelle: Neue Emotet-Variante verbreitet sich über WLAN-Verbindungen | ZDNet.de

Emotet: Sicherheitsrisiko Microsoft Office 365

Dokumentiert aber wenig bekannt: Den Business-Versionen von Office 365 fehlt eine wichtige Schutzfunktion, die unter anderem Emotet-Infektionen verhindern kann.

Emotet kommt fast immer über MS-Office-Dateien ins Netz. Dabei werden dann kleine Progrämmchen ausgeführt, um den Rechner zu infizieren – sogenannte Makros, die in den .doc-Dateien enthalten sind. Zum Glück kann man das abschalten, um sich beziehungsweise seine Firma zu schützen. Doch genau diesen Schutz vor bösartigen Makros hat Microsoft in den bei Firmen beliebten Business-Versionen von Office 365 offenbar mutwillig verkrüppelt.

Mit Gruppenrichtlinien kann der Adminstrator eines Windows-Netzes feste Regeln etwa für den sicheren Betrieb von Software vorgeben. So kann er beispielsweise für bestimmte Abteilungen oder sogar firmenweit auf allen Windows PCs das Ausführen von Office-Makros verbieten, weil diese nicht benötigt werden. Entsprechend empfiehlt das Bundesamt für Sicherheit inder Informationstechnik (BSI) Firmen in seinem Maßnahmen-Katalog zum Schutz vor Emotet: "Die generelle Ausführung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden." Das funktioniert auch zuverlässig mit allen Versionen von Office Professional Plus.

Wenig bekannt ist jedoch: Wer etwa auf Office 365 Business Premium umsteigt, reißt allein damit unter Umständen ein riesiges Sicherheitsloch in seine vormals gut abgesicherte Firmen-IT. Denn die meisten Office-365-Versionen ignorieren die Vorgaben aus Gruppenrichtlinien – und das auch noch stillschweigend. Damit können dann vorher gut geschützte Anwender plötzlich ihren Rechner wieder mit wenigen Mausklicks mit Emotet infizieren. Und die Admins bekommen das mit etwas Pech erst mit, wenn es zu spät ist.

Gefährlicher Lizenzpoker
Es handelt sich dabei keineswegs um ein grundsätzliches Problem von Office 365, ein Versehen oder gar ein unbeabsichtigtes Sicherheitsloch. Denn zum einen betrifft das Problem vor allem die preisgünstigen Business-Versionen; die teuren Enterprise-Versionen von Office 365 unterstützen die Gruppenrichtlinien durchaus. Zum anderen dokumentiert Microsoft deren fehlende Unterstützung bei den Office-365-Business-Versionen im Kleingedruckten, der sogannten Dienstbeschreibung zu Office-Anwendungen direkt nach den Informationen zu "Archivierung und Vorschrifteneinhaltung mit Exchange Online und SharePoint Online".

Damit verdichtet sich der Eindruck, dass es Microsoft vor allem um eines geht: Den Kunden die teuren Enterprise-Lizenzen aufzuzwingen. Wer dafür nicht das Geld auf den Tisch legen will, lebt eben gefährlich. Angesichts von Emotet-Infektionen die Firmen und Organisationen bis in den Ruin treiben können, ist das ein sehr fragwürdiges Vorgehen. Insbesondere weil viele Betroffene gar nicht mitbekommen, dass sie ein Problem haben.

Welche Office-Versionen sich genau wie verhalten und wie man sich – zumindest ein Stück weit – selbst helfen kann, dokumentiert der heise-Security-Hintergrundartikel

- Microsoft und Emotet: Makroschutz in Office 365 nur für Konzerne

Quelle: Emotet: Sicherheitsrisiko Microsoft Office 365 | heise online

Emotet: Erste Angriffswelle nach fünfmonatiger Pause

Nach mehrmonatiger Pause haben Forscher eine neue Emotet-Angriffswelle beobachtet. Die Ziele lagen vor allem in den USA sowie im Vereinigten Königreich.

Erstmals seit Anfang Februar 2020 gegen vom Bot-Netz Emotet wieder Angriffswellen aus. Die Ziele lagen zunächst vorwiegend in den USA sowie im Vereinigten Königreich. An der Art und Weise der Angriffe hat sich seit den zahlreichen Attacken im Jahr 2019 nichts geändert. Per E-Mail erhalten die Empfänger Word-Dokumente oder Links zu solchen mit der Bitte, diese zu öffnen. Sind auf dem Zielrechner Makros erlaubt, aktiviert dies die im Dokument enthaltenen infizierten Makros, die dann Emotet selbsttätig installieren.

Bis zum Abend des 17. Juli seien nach Schätzung der IT-Sicherheitsexpertin Sherrod DeGrippo rund 80.000 solcher E-Mails verschickt worden, wie ZDNet berichtet. Experten zufolge seien die Mitteilungen zu allen drei bekannten Emotet-Clustern – Epoch 1, 2 und 3 – zurück verfolgbar. Im Vorfeld der neuen Welle hätten Beobachter lediglich kleinere Testläufe entdeckt, so Bleeping Computer. Diese E-Mails hätten jedoch veraltete Links respektive Dateien mit nicht mehr funktionierenden URLs enthalten.

Absichten sind noch unbekannt
Welche Schadsoftware Emotet im Zuge der neuen Welle im Einzelnen auf den infizierten Rechnern installiert, ist bislang nicht bekannt. Zuletzt ging es dabei vor allem um die Verschlüsselung von Daten – erst nach der Zahlung eines Lösegeldes sollten Nutzer Zugriff darauf erhalten. Betroffen waren neben großen Unternehmen und öffentlichen Einrichtungen wie dem Berliner Kammergericht, das noch immer unter den Auswirkungen leidet, auch zahlreiche kleinere Betriebe. Die ebenfalls betroffene Verwaltung von Neustadt am Rübenberge sprach offen über den Emotet-Angriff und die daraus gezogenen Lehren.

Die fünfmonatige Unterbrechung nahezu sämtlicher Aktivitäten ist bereits die zweite längere Pause des Bot-Netzes. Bereits zwischen Mai und September 2019 verzeichneten Beobachter keine Angriffe. Vermutet wurde zunächst eine unbemerkte Zerschlagung des Netzwerks, was sich Mitte September 2019 als Fehlannahme entpuppte. Entsprechend ist unklar, was zu der neuerlichen Pause geführt hat. Im vergangenen März erklärten einige Cybercrime-Gangs lediglich, dass sie im Zuge der Corona-Pandemie keine Angriffe auf Krankenhäuser durchführen würden.

Quelle: Emotet: Erste Angriffswelle nach fünfmonatiger Pause | heise online

GIFs statt Malware: Unbekannter Hacker sabotiert Emotet-Botnet

Er übernimmt die Kontrolle über von der Emotet-Gang gekaperte WordPress-Seiten. Sie dienen der Verteilung der eigentlichen Schadsoftware. Diese ersetzt der unbekannte Hacker durch verschiedene animierte GIF-Dateien, was den Betrieb von Emotet massiv stört.

Ein unbekannter Hacker legt derzeit teilwiese den Betrieb des erst kürzlich reaktivierten Botnets Emotet teilweise lahm. Er ersetzt den Schadcode, der eigentlich über Emotet verbreitet werden soll, durch eine animierte GIF-Datei, was Opfer vor einer Infektion mit Malware bewahrt.

Der Angriff auf das Botnetz begann laut Forschern von Cryptolaemus, die sich mit den Aktivitäten von Emotet beschäftigen, am 21. Juli. Inzwischen sei rund ein Viertel aller Malware-Downloads über Emotet betroffen.

Die Hintermänner von Emotet nutzen die unter ihrer Kontrolle stehenden Systeme, um Phishing-E-Mails zu verschicken. Sie enthalten angeblich Unternehmenskommunikation und sollen Nutzer verleiten, angehängte Word-Dateien zu öffnen oder eingebetteten Links zu folgen, über die dann ein schädliches Dokument heruntergeladen werden soll.

Die schädlichen Dateien enthalten in der Regel Skripte oder Makros, deren Ausführung Nutzer bestätigen müssen. Erst danach gelangt die eigentliche Emotet-Malware aus dem Internet auf das System des Opfers. Oftmals hosten die Hintermänner ihre Schadsoftware auf gehackten WordPress-Websites.

Genau hier setzt nun der unbekannte Hacker mit seiner Sabotageaktion an. Die Emotet-Gang kontrolliert die gehackten Seiten über eine Web Shell, die auf Open-Source-Skripten basiert. Zudem stellte der Sicherheitsforscher Kevin Beaumont schon im vergangenen Jahr fest, dass alle Web Shells der Emotet-Hacker dasselbe Passwort nutzen, was Angriffe auf das Botnet begünstigt.

Dieses Passwort wurde nun wahrscheinlich geknackt. Der Saboteur ist dadurch in der Lage, die gehackten WordPress-Seiten seinerseits zu kontrollieren und die darüber angebotene Schadsoftware durch eine harmlose Datei – in diesem Fall eine GIF-Animation – zu ersetzen.

Nach Angaben des Cryptolaemus-Forschers Joseph Roosen ist den Hintermännern von Emotet das Problem bekannt. So sei das Botnet am Donnerstag abgeschaltet worden, offenbar um den Hacker aus dem System zu verbannen. Auch sonst arbeitete es derzeit nur mit rund einem Viertel seiner Kapazität.

Wer hinter dem Angriff auf Emotet steckt, ist nicht bekannt. Als mögliche Verdächtige gelten konkurrierende Cyberkriminelle oder ein Vertreter der Cybersicherheitsbranche.

Quelle: GIFs statt Malware: Unbekannter Hacker sabotiert Emotet-Botnet | ZDNet.de

Betrüger-Mails: Emotet klaut Dateianhänge für mehr Authentizität

Aufgepasst: Emotet hat dazu gelernt und versteckt sich nun in noch glaubhafteren Mails.

Der hoch entwickelte Windows-Schädling Emotet ist um eine Fähigkeit reicher und verleibt sich nun Dateianhänge von E-Mails ein. Die Anhänge nutzen die Drahtzieher dafür, betrügerische Mails mit dem Schädling im Gepäck noch authentischer erscheinen zu lassen.

Bei der Erstellung solcher Mails geht das Emotet-Botnet äußerst perfide vor. Schon seit dem ersten Auftreten Ende 2018 besitzt Emotet die Fähigkeit, ganze Mails zu kopieren, um so an existierende Projekte in Unternehmen anzuknüpfen. Außerdem kopiert der Trojaner Adressbücher von Firmenkontakten und verschickt teilweise äußerst glaubhafte Mails an Kunden und Partner.

Erfolgreiche Masche noch erfolgreicher?
Wer im Namen des eigenen Chefs eine Mail zu einem Projekt, an dem man gerade arbeitet, bekommt, schöpft erst mal keinen Verdacht. Hängt nun noch eine Projekt-Datei an der Mail, steigert das die Authentizität.

Aktiviert ein Opfer die Makros einer Word-Datei oder klickt auf einen Link in der gefälschten Mail, ist es zu spät und Emotet macht sich auf dem Computer und anschließend im ganzen Netzwerk breit. Der Trojaner legte weltweit ganze Firmen lahm.

Die Sicherheitsforscher von MalwareTech berichten auf Twitter, dass die Passage zum Stehlen von Mail-Anhängen wohl Mitte Juni Einzug in den Emotet-Code hielt. Cofense Labs hat getwittert, dass sie eine Mail mit fünf von Emotet abgezogenen Anhängen beobachtet haben. Wer sich davon blenden lässt und auf den Link in der Mail klickt, hat verloren.

Er ist wieder da
Zuletzt war es ziemlich ruhig um den Schädling. Jüngst startete nach fünfmonatiger Pause eine neue Angriffswelle. Dementsprechend sollte man dieser Tage bei Mails mit Anhängen oder Links besonders vorsichtig sein. Das Klicken auf Links und das unbedachte Öffnen von Dateien sollten man aber nicht nur jetzt, sondern aus Sicherheitsgründen immer kritisch sehen. Schließlich sind unwissende Mitarbeiter oft das schwächste Glied in der Kette, durch das ein Trojaner bricht.

In welchem Ausmaß die aktuelle Emotet-Kampagne durch das Internet rollt, ist bislang unbekannt.

Quelle: Betrüger-Mails: Emotet klaut Dateianhänge für mehr Authentizität | heise online