diverse Angriffswellen durch Emotet [Sammelthema]

  • Allgemein

  • mad.de
  • 12243 Aufrufe 34 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Emotet: Trickbot nimmt Linux-Systeme ins Visier

    Schlechte Nachrichten: Forscher entdecken Linux-Versionen einer Schadsoftware der Trickbot-Gang.

    Einen beträchtlichen Teil des Schadens typischer Emotet-Vorfälle richtet die Trickbot-Band an. Deren Schadsoftware lädt Emotet nämlich auf die infizierten Systeme, sodass deren Herrn und Meister schlussendlich wichtige Daten verschlüsseln und dafür Lösegeld fordern können (siehe Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail). Jetzt hat ein Sicherheitsforscher eine Linux-Portierung des Trickbot-Tools Anchor_DNS entdeckt – und das bedeutet Ärger.

    Die Trickbot-Gang ist bekannt für ihre raffinierten Angriffsmethoden. Anchor_DNS etwa ist ein Tool, das das Domain Name System (DNS) für die Kommunikation mit dem Kontrollserver missbraucht. Das hat zwei Vorteile: Erstens sehen die Verteidiger und deren Tools keine Zugriffe auf verdächtige IP-Adressen mehr. Und zweitens funktioniert das auch, wenn der infizierte Rechner selbst gar keine Verbindung zum Internet hat – also etwa auf einem internen Server. Das System muss dazu lediglich DNS-Namen auflösen können.

    Linux-Systeme infizieren Windows
    Dieses Trickbot-Tool hat Waylon Grange jetzt in einer Linux-Version entdeckt und analysiert. Anchor_linux verankert sich selbst als Cron-Job im System. Wie es dorthin gelangt ist nicht klar, aber Trickbot sammelt unter anderem auf infizierten Systemen SSH-Schlüssel ein. Die Infektion des Linux-Servers könnte also etwa über den SSH-Zugang eines Admins erfolgen, dessen Arbeitsplatzrechner zuvor kompromittiert wurde. Auch IoT-Gerätschaften mit bekannten Hintertür-Zugängen sind natürlich potenzielle Opfer.

    Der Linux-Trojaner übermittelt Daten via DNS an seinen Kontrollserver und empfängt von diesem Befehle und Dateien. Es arbeitet dabei ähnlich wie die bereits bekannten Windows-Versionen. Darüber hinaus hat er auch Funktionen um Windows-Systeme zu infizieren. Dazu kopiert er einen Windows-Trojaner auf eine Dateifreigabe und konfiguriert diesen anschließend via IPC als Dienst, der automatisch zu starten ist.

    Schlechte Nachrichten
    Das Ausweiten der Aktivitäten auf Linux-Systeme ist aus Sicht der Trickbot-Bande sicher ein naheliegender Schritt. Für Incident-Response-Teams, die Trickbot- beziehungsweise Emotet-Vorfälle analysieren müssen, sind das jedoch denkbar schlechte Nachrichten. Müssen sie doch im Rahmen ihrer Aktivitäten zukünftig auch alle Systeme genau untersuchen, die unter Linux laufen und möglicherweise infiziert sein könnten. Das heißt nicht nur Server, sondern auch Drucker, Router, und so weiter und so fort. Denn ein einziger, übersehener Anchor_linux bedeutet, dass die Kriminellen nach der Reinigung sofort wieder im Netz aktiv werden können und das böse Spiel von vorne beginnt.

    Quelle: Emotet: Trickbot nimmt Linux-Systeme ins Visier | heise online
  • Forscher verbreiten „Impfstoff“ gegen Emotet-Malware

    Ausgangspunkt ist ein Bug im Code der Schadsoftware, die einen Absturz von Emotet auslöst. Den Fehler nutzt der Forscher mit einem einfachen PowerShell-Skript aus, das einen bestimmten Registry-Schlüssel von Emotet überschreibt. Die Hintermänner der Malware beheben den Fehler Anfang August.

    James Quinn, Malware-Analyst bei Binary Defense, hat Anfang des Jahres einen Fehler in der Emotet-Malware entdeckt. Er steckt in dem Teil des Codes, der es der Schadsoftware erlaubt, sich dauerhaft auf einem PC einzurichten – also auch einen Neustart zu überstehen.

    Zu diesem Zweck richtete Emotet seit einem Update im Februar einen Eintrag in der Windows Registry ein, der wiederum einen XOR-Wert enthielt. Quinn zufolge nutzten die Programmierer von Emotet diesen Wert auch für andere Funktionen, unter anderem für eine Routine vor der eigentlichen Infektion eines Systems.

    Bei weiteren Untersuchungen gelang es dem Forscher schließlich, ein PowerShell-Skript zu entwickeln, um einen Absturz von Emotet auszulösen. Das EmoCrash genannte Skript legt einen eigenen Schlüssel in der Registry an, der bei dem Versuch, das System mit Emotet zu infizieren, einen Pufferüberlauf im Emotet-Code auslöst. Das wiederum soll zu einem Absturz der Schadsoftware führen und somit effektiv vor einer Emotet-Infektion schützen.

    Der „Impfstoff“ funktioniert dem Forscher zufolge allerdings auch auf Systemen, die bereits mit Emotet infiziert sind. Dort ersetzt das Skript einen von Emotet angelegten Registry-Schlüssel durch den EmoCrash-Schlüssel, was ebenfalls den Absturz der Malware zur Folge hat. Dadurch wird die Infektion an sich zwar nicht rückgängig gemacht, es soll aber zumindest die Kommunikation mit dem Befehlsserver der Emotet-Betreiber verhindert werden.

    Des Weiteren erlaubt das Skript, Systeme mit inaktiven Emotet-Infektion in einem Netzwerk aufzuspüren. In der Ereignisanzeige von Windows werden die Abstürze laut Binary Defense mit den Event-IDs 1001 und 1001 dokumentiert, was es Administratoren erlaube, gezielt nach diesen Ereignissen zu suchen und betroffene Systeme zu identifizieren.

    Das Skript verbreitete das Sicherheits-Start-up jedoch nicht selbst, sondern um eine verdeckte Verteilung zu garantieren, mit Hilfe des auf die Bekämpfung von Botnets spezialisierten Sicherheitsanbieters Team CYMRU. Über nationale und regionale CERT-Teams gelangte das Skript schließlich in die Hände von Unternehmen, um deren Systeme zu impfen und/oder zu bereinigen, ohne dass das Skript an die Hacker durchsickerte.

    Da das Skript keine Telemetrie-Modul besaß, ist nicht bekannt, wie viele Unternehmen es eingesetzt haben. Binary Defense berichtete im Gespräch mit ZDNet jedoch von zahlreichen Rückmeldungen von Unternehmen, wonach das Werkzeug Infektionen verhindert oder laufende Vorfälle aufgedeckt haben soll.

    Inzwischen ist das EmoCrash-Skript jedoch wirkungslos. Anfang August änderten die Emotet-Entwickler das Modul für die dauerhafte Einnistung vollständig.

    Quelle: Forscher verbreiten "Impfstoff“ gegen Emotet-Malware | ZDNet.de
  • Polizei warnt vor neuer Malware-Welle via Mail: So schützen Sie sich

    Ein altbekannter Schädling verbreitet sich derzeit wieder massiv. So erkennen Sie die gefährlichen Mails und so schützen Sie sich.

    Der berüchtigte Trojaner Emotet breitet sich derzeit wieder massiv aus. Davor warnt das Landeskriminalamt Niedersachsen.

    Bei der aktuellen Infektionswelle nutzt Emotet eine altbekannte Masche: Er versteckt sich in einer Word-Datei, die an eine Mail angehängt ist und versucht zunächst einmal, einen Rechner im Netzwerk zu infizieren.

    Diese Mail tarnt sich dadurch, dass sie vorgibt, an eine bereits begonnene Kommunikation anzuknüpfen und von einem scheinbar bekannten Gesprächspartner zu stammen. In jedem Fall wird im Mail-Body an die angehängte DOC-Datei hingewiesen. Öffnet der Empfänger die DOC-Datei, dann versucht diese eine Schadsoftware auf den PC des Opfers nachzuladen. Das klappt aber nur, wenn das Ausführen von Makros in Word durch den Anwender erlaubt wird. Erlaubt der Anwender das, dann lädt Emotet die entsprechenden weiteren Schadprogramme aus dem Web nach und versucht danach weitere Rechner im Netzwerk zu infizieren.

    Die Polizei hat eine Liste von typischen Formulierungen zusammengestellt, die in den Mails verwendet werden:
    • In der Anlage das SEPA Formular und die neue Rechnungsanschrift
    • RechnungsDetails_12_08_2020_.....doc
    • Gmbh_2020_08.doc
    • Alle Angaben entnehmen Sie bitte dem angehängten angeforderten Dokument.
    • Eine Dokumentation befindet sich im Anhang.
    • Anbei erhalten Sie Ihre angeforderten Informationen für Ihre Unterlagen.
    • im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.
    • Your statement is attached. Please remit payment at your earliest convenience.
    • Please remit payment at your earliest convenience.
    • Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.
    Die infizierten Rechner werden zum Versenden von Spammails und Malware missbraucht. Außerdem werden die infizierten PCs ausspioniert, beispielsweise nach Adressdaten (um damit personalisierte Phishingmails zu versenden), oder nach Kundendaten oder Patientendaten. Auch Ransomware-Angriffe, also die Verschlüsselung der Daten auf dem Rechner, um für deren Entschlüsselung ein Lösegeld zu erpressen, sind denkbar.

    So schützen Sie sich:
    • Bevor Sie also auf den Anhang einer Mail klicken, prüfen Sie den Absender genau. Mit einem Mouse-Over über der im Mailprogramm angezeigten Mailadresse sehen Sie die tatsächliche Absenderadresse.
    • Hat die Absender-Mailadresse eine ungewöhnliche Domainendung?
    • Erwarten Sie von dem Absender tatsächlich eine Mail mit einer angehängten Word-Datei? Fragen Sie bei Zweifeln telefonisch nach.
    • Besteht die vorgegebene Mailkommunikation tatsächlich?
    • Ganz wichtig: Wird von mir verlangt, dass ich Makros in MS Office akzeptiere?
    • Halten Sie Ihren Virenscanner immer aktuell
    • Emocheck: Gratis-Tool spürt fiese Malware Emotet auf Ihrem PC auf
    Quelle: Polizei warnt vor neuer Malware-Welle via Mail: So schützen Sie sich - PC-WELT
  • Emotet: Angreifer wollten Bundeswehr-Fuhrparkservice erpressen

    Der Bundeswehr-Fahrdienst, der auch Bundestagsabgeordnete befördert, wurde Opfer der Ransomware Emotet. An Daten hatten die Angreifer wohl kein Interesse.

    Kürzlich wurde bekannt, dass Unbekannte das IT-Netz des Bundeswehr-Fuhrparkdienstleisters angegriffen haben. Das Unternehmen bietet Fahrdienste nicht nur für die Bundeswehr, sondern auch für das Verteidigungsministerium und die Abgeordneten des Bundestages an. Wie nun aus einem Untersuchungsbericht hervorgeht, hatten es die Angreifer auf eine Erpressung abgesehen.

    Infektionskette beginnt mit Emotet
    Dem Redaktionsnetzwerk Deutschland (RND) liegt nach eigenen Angaben ein "Bericht zum aktuellen Sachstand" vor, den die Geschäftsführung des Bundeswehr-Tochterunternehmens BwFuhrparkService GmbH erstellen ließ. Darin heißt es laut RND, dass zunächst der Erpressungstrojaner "Emotet" das IT-Netz des Unternehmens infiziert habe. Ins Haus sei die Ransomware per E-Mail gelangt. Anschließend seien ein weiterer Erpressungstrojaner ("QakBot") und daraufhin die Schadsoftware "Cobalt Strike" nachgeladen worden, die der Bericht als "Werkzeugkasten für manuelle Angriffe" bezeichne.

    Mögliche Täter nennt der Bericht demnach nicht. Tätig sei die Schadsoftware ausschließlich am 12. August gewesen, bereits am nächsten Tag wurden die Netzwerk-Verbindungen – auch zu den Kunden des Unternehmens – gekappt und der Vorfall wurde dem Verteidigungsministerium mitgeteilt.

    Zugriff auf personenbezogene Daten möglich
    Betroffen waren Windows-Systeme, darunter auch diejenigen, auf denen personenbezogene Daten für den Fahrdienst des Deutschen Bundestages gespeichert sind. Derzeit habe man noch keinen Abfluss von Daten festgestellt, allerdings wäre das den Angreifern bis zur Trennung der Netzverbindungen möglich gewesen. Der Umfang und das Muster des Angriffs legten aber die Vermutung nahe, dass es den Angreifern nicht um die Daten der Bundestagsabgeordneten gegangen sei. Vielmehr hätten sie Vorbereitungen getroffen, um den Bundeswehr-Fuhrparkservice zu erpressen. Offenbar sollte zuerst das IT-Netz lahmgelegt werden, anschließend wäre Lösegeld für eine Reaktivierung verlangt worden.

    Die Bundestagsvizepräsidentin Petra Pau (Die Linke) sagte gegenüber dem RND, der Bundestag sei insofern von dem Vorfall betroffen, als die Angeordneten-Daten möglicherweise im Zugriff der Angreifer gewesen waren. Dies sei jedoch nicht das Ziel der Aktion gewesen, sondern die Erpressung der Bundeswehr. Laut Frau Pau, die auch der Bundestags-Kommission für Informations- und Kommunikationstechnik (IuK) vorsitzt, sei die Untersuchung noch im Gang. Der Fahrdienst sei gewährleistet, es gehe jetzt darum, Wiederholungen zu vermeiden.

    Quelle: Emotet: Angreifer wollten Bundeswehr-Fuhrparkservice erpressen | heise online
  • Aufgepasst: Emotet versteckt sich nun in passwortgeschützten Archiven

    Die Drahtzieher hinter Emotet haben eine neue Kampagne gestartet, um die Malware zu verbreiten. Dieses Mal haben Sie aber bei einer Sache gepennt.

    Wer dieser Tage im Dateianhang einer Mail ein gepacktes Archiv vorfindet, sollte besonders gut aufpassen: Darin könnte die hoch entwickelte Windows-Malware Emotet lauern.

    Wie Microsoft auf Twitter berichtet, sollen solche Mails derzeit weltweit und in verschiedenen Sprachen unterwegs sein. An den als Arbeits- oder Rechnungsmails getarnten Nachrichten hängt ein mit einem Passwort geschütztes Archiv. Dieser Ansatz sorgt dafür, dass Antiviren-Software auf Mail-Gateways nicht in das Archiv gucken kann und somit die Bedrohung darin nicht sieht.

    Der Text in der Mail bittet das Opfer darum, das Archiv mit dem in der Nachricht enthaltenen Passwort zu öffnen. Darin befindet sich ein Word-Dokument mit vermeintlichen weiterführenden Informationen zum Betreff der Mail.

    Infektion nicht ohne Weiteres
    Um eins gleich klarzustellen: Der alleinige Empfang der Mail und selbst das Öffnen des Archivs und im Anschluss des Dokuments hat noch keine Emotet-Infektion zufolge. Erst wenn ein Opfer die Makros im Word-Dokument aktiviert, kommt die Malware auf den Computer.

    Um das zu erreichen, tun die Kriminellen so, als wenn das Dokument mit Windows 10 Mobile oder Android erzeugt wurde. Um es lesen zu können, muss das Opfer den "Kompatibilitätsmodus" aktivieren. Doch diesen Modus gibt es gar nicht. Fällt das Opfer auf die Finte rein, aktiviert es die Makros im Dokument.

    Emotet-Mails mit einem Blick enttarnen
    In der Vergangenheit hing Emotet an Mails, die in der Regel sehr gut gefälscht waren und selbst Admins mussten zum Teil mehrmals hingucken, um den Schwindel aufzudecken. Dafür werteten die Emotet-Macher bereits kopierte Interna aus und strickten daraus maßgeschneiderte Betrüger-Mails mit gefährlichem Anhang. So waren in Unternehmen beispielsweise Mails im Namens des Chefs in Umlauf, die an bestehende Projekte anknüpften und so besonders glaubhaft wirkten.

    Doch dieses Mal haben sich die Emotet-Macher offensichtlich keine große Mühe gegeben: Microsoft berichtet von Mails, die im Betreff und im Text an veralteten Bestellungen oder Projekten aus beispielsweise 2013 und 2014 anknüpfen. Das lässt den Betrug schnell auffliegen.

    Quelle: Aufgepasst: Emotet versteckt sich nun in passwortgeschützten Archiven | heise online
  • Emotet: CISA warnt vor Phishing-Angriffen auf US-Regierungseinrichtungen

    Die Cybersecurity and Infrastructure Security Agency (CISA) sieht Regierungseinrichtungen in den USA derzeit verstärkt durch die Schadsoftware Emotet bedroht.

    Seit August dieses Jahres haben Emotet-Phishingangriffe auf staatliche und lokale Regierungseinrichtungen deutlich zugenommen. Das haben die Cybersecurity and Infrastructure Security Agency (CISA) und das Multi-State Information Sharing & Analysis Center (MS-ISAC) nach eigenen Angaben beobachtet, sie gaben nun eine Warnmeldung heraus. Emotet habe sich zu einer der aktuell am häufigsten anzutreffenden Bedrohungen entwickelt, heißt es darin.

    Den derzeit mit Phishing-Kampagnen angegriffenen Einrichtungen empfehlen CISA und MS-ISAC Schutzvorkehrungen wie etwa Antivirensoftware zu nutzen, geeignete Firewall-Regeln, bestimmte Dateitypen in E-Mail-Anhängen zu blockieren sowie Zugriffsbeschränkungen von Angestellten auf potenziell gefährliche Webseiten. Maßnahmen also, die ganz allgemein dem zum Schutz vor Cyberbedrohungen dienen. Der Alert beinhaltet aber etwa auch Emotet-spezifische Snort-Regeln sowie eine Übersicht über typische Angriffstechniken und Verhaltensmuster auf kompromittierten Systemen.
    Emotet nimmt seit Juli wieder Fahrt auf
    Im Anschluss an eine fünfmonatige Pause ab Februar 2020 hat die Emotet-Gang im Juli ihre ursprüngliche Phishing-Maschinerie wieder in Betrieb genommen. Bereits zuvor hatte sich die Schadsoftware bevorzugt über E-Mail-Anhänge verbreitet, häufig in Gestalt präparierter Office-Dokumente. Allerdings präsentierten sich die Phishing-Kampagnen der vergangenen Monate ausgereifter als zuvor.

    Unter anderem kann Emotet jetzt Dokumente stehlen, die Phishing-Mails mit passend gefälschten Absendern angehängt werden, um die Glaubwürdigkeit zu erhöhen. Ende September warnte Microsoft zudem vor einer (wenn auch noch nicht ganz ausgereiften) Emotet-Kampagne, mit der die Bedrohungserkennung verhindert werden soll, indem das präparierte Dokument in ein passwortgeschütztes Archiv gesteckt wird.

    Die allgemeine Funktionsweise von Emotet erläutert unter anderem ein heisec-Hintergrundartikel.

    Wachsam bleiben, Schutz ergreifen
    Die aktuelle CISA-Warnung sollten Behörden, Unternehmen und Privatpersonen auch hierzulande als Anlass betrachten, möglichen (Emotet-)Phishing-Mails gegenüber wieder wachsamer zu werden – und dies bestenfalls auch kontinuierlich zu bleiben.

    Basierend auf dem Emotet-Vorfall bei Heise haben wir im vergangenen Jahr zwei Webinare veranstaltet. Unter anderem wird darin ein gestaffeltes Schutzkonzept für Unternehmen vorgestellt, bei dem eine einzelne Infektion noch nicht "Game over" für die Verteidiger bedeutet. Die Aufzeichnungen finden Sie im heise Shop:
    • Bundle: Emotet Webinare - Teil 1 & 2 (Link entfernt)
    Quelle: Emotet: CISA warnt vor Phishing-Angriffen auf US-Regierungseinrichtungen | heise online
  • Gefährlicher Trojaner mit fiesem Trick: Achtung vor gefälschten Windows-Updates

    Emotet ist der wohl gefährlichste Trojaner aller Zeiten, denn er zeigt sich immer wieder in neuem Gewand. Hat man ihn erst einmal auf dem System, lädt er verschiedenste Schädlinge nach, vor denen nichts sicher ist. Doch es gibt Gegenmittel: Mit kleinen Schutzprogrammen wie EmoCheck können Sie Ihr System lokal prüfen und ein neues Tool checkt, ob Emotet Ihre Mail-Adresse missbraucht.

    Auch wer sich nicht mit Computer-Sicherheit beschäftigt, hat meist schon von Emotet gehört. Schon seit mehreren Jahren treibt die Malware ihr Unwesen, mal als Banking-Trojaner, dann als Passwort-Dieb oder ganz anders, denn Emotet lädt bei Bedarf immer wieder neue Schadmodule auf infizierte Systeme.

    Beim Thema Verbreitung schlägt Emotet auch ungewöhnliche Wege ein: Meist kommt er über Spam-Kampagnen per Mail oder nutzt auch Office-Dateien zur Verbreitung. Er versucht aber auch, WLANs in Reichweite infizierter Systeme zu knacken, wie eine Analyse eines Emotet-Samples zeigt. Die Hintermänner bei Emotet probieren viel aus, aktuell gibt sich der Trojaner in Spam-Mails als Update für Microsoft Word aus. Wer den Dateianhang mit der Endung .DOC öffnet, tappt dem Botnetz in die Falle. Achten Sie also auf E-Mails, die Sie zum Aktualisieren von Office-Anwendungen auffordern.

    Ein guter Virenscanner sollte Emotet eigentlich verhindern. Ob ein System bereits mit dem Schädling infiziert ist, prüft auch das kleine Tool EmoCheck. In der aktuellen Version 1.0 haben die Entwickler explizit den Support für die aktuelle Ausprägung des Trojaners ergänzt, die wohl schon im April gestartet ist. Verdächtige Files und Mail-Anhänge lassen sich damit ganz einfach scannen.

    Mail-Adressen-Check
    Die Web-App Have I Been Emotet prüft auf Wunsch, ob Ihre E-Mail-Adresse Teil einer Emotet-Spam-Kampagne war. Die Bedienung ist einfach und dem Passwort-Leak-Checker Have I Been Pwned nachempfunden. Sie tippen einfach Ihre Mail-Adresse in das Feld und klicken auf "Check". Neben einzelnen Adressen lassen sich auch komplette Domains prüfen.

    Ein grüner Hinweis erscheint, wenn die Mail-Adresse weder Absender noch Empfänger von Emotet-Spam war. Ein roter Hinweis weist darauf hin, dass Emotet die Mail-Adresse entweder als Sender oder Empfänger für Spam verwendet hat. Aufgelistet wird auch, ob die Adressen real oder mit Fake-Absender verwendet wurden. Reale Adressen bedeuten, dass Ihr Mail-Konto geknackt wurde, Fake-Adressen weisen auf den Missbrauch Ihrer Mail-Adresse hin.

    Hinter dem Check-Tool steht der italienische Security-Spezialist TG Soft. Über 2 Millionen Mail-Adressen soll die Datenbank umfassen und sie soll weiter wachsen.

    Emotet: Neue Wege für die Verbreitung
    Das Gefährliche an Emotet ist seine Flexibilität. So nutzt der Trojaner verschiedenste Wege, um Systeme zu infizieren, etwa gefälschte E-Mails. Da er dabei sehr geschickt vorgeht und per Outlook-Harvesting zum Beispiel Mails von Arbeitskollegen und Freunden fälscht, steht er auf der BSI-Warnliste seit längerer Zeit weit oben.

    Ist er auf dem System, lädt er bei Bedarf Banking-Trojaner, Password-Stealer oder andere Module nach. Weiter geht es mit der Verbreitung dann im aktiven Netzwerk, zumindest zeigte Emotet bisher dieses Verhalten. Doch jetzt zeigen Analysen, dass er auf infizierten Systemen mit WLAN auch die Liste verfügbarer Nachbar-WLANs scannt und dann versucht, sich mit diesen Netzwerken zu verbinden. Dafür soll er systematisch eine Liste mit oft verwendeten Passwörtern durchprobieren.

    Schutz vor Emotet
    Emotet ist so ziemlich die schlimmste Malware-Plage und nicht tot zu kriegen. Für den Schutz braucht man aber trotzdem keine außergewöhnlichen Maßnahmen. Updates für Windows und Programme sind Pflicht, dazu ein aktueller Virenscanner. Windows Defender sollte es unter Windows 10 tun, wer mehr Schutz will, kann sich mal die Ergebnisse unseres letzten Vergleichstests ansehen.

    Regelmäßige Backups schützen Sie zwar nicht vor dem Emotet-Befall, beugen aber Datenverlust vor, wenn es Emotet einfällt, eine Ransomware nachzuladen und Ihre Daten zu verschlüsseln. Neben den technischen Hürden sollten Sie auch Ihr Verhalten anpassen. Aktivieren Sie Makros in Office-Dokumenten erstmal nicht, auch wenn es Ihnen ein Kollege per Mail geschickt hat. Fragen Sie im Zweifelsfall direkt nach.

    Versuche in fremde WLANs einzudringen zeigen aber, dass Sie Sicherheit überall mitdenken müssen. Verwenden Sie starke Passwörter, die am besten in einem Passwort-Manager wie KeePassXC verwaltet werden.

    Quelle: Trojaner Emotet tarnt sich als Windows-Update - CHIP
  • Malware Emotet versteckt sich hinter gefälschtem Upgrade für Microsoft Word

    Eine neue Kampagne gaukelt Opfern vor, sie benötigen ein Upgrade mit neuen Funktionen für Microsoft Word. Tatsächlich sollen sie die Sicherheitsvorkehrungen zum Schutz vor gefährlichen Makros deaktivieren. Die schädlichen Dokumente verteilen die Hintermänner weiterhin per E-Mail.

    Die Schadsoftware Emotet nutzt eine neue Methode, um Nutzer zu täuschen und zur Installation der Malware zu verleiten. Spam-E-Mails mit schädlichem Dateianhang im Word-Format gaukeln nun vor, dass ein Upgrade für die Microsoft-Textverarbeitung benötigt wird, um die Inhalte der Datei aufrufen zu können.

    Das neue Täuschungsmanöver wurde laut einem Bericht von Bleeping Computer erstmals in der vergangenen Woche beobachtet. Die Spam-Nachrichten wiederum nutzen Social Engineering, um Nutzer davon zu überzeugen, den Dateianhang zu öffnen. So soll dieser beispielsweise Rechnungen, Versandinformationen, Lebensläufe, Details zu einer Bestellung oder wichtigen Informationen zur COVID-19-Pandemie enthalten.

    Stattdessen versucht das Dokument ein Makro auszuführen, was Word jedoch ab Werk blockiert. Hier nun setzen die Hintermänner mit der angeblich von Microsoft stammenden Meldung an, dass ein „Upgrade“ für Microsoft Word „neue Funktionen“ hinzufügt. Zudem gibt die Meldung den gefährlichen Rat, die Inhalte, spricht das Makro, zu aktivieren und die Bearbeitung des Dokuments zu erlauben.

    Fällt ein Nutzer auf diesen Trick herein, läuft das übliche Infektionsverfahren für Emotet ab. Das in der Word-Datei enthaltene Makro wird ausgeführt und lädt die Emotet-Malware herunter, um sie anschließend zu installieren.

    Emotet gilt als eines der am weitesten verbreiteten Schadprogramme. Es ist besonders gefährlich, weil es in der Lage ist, weitere Malware zu installieren. Darunter sind Trojaner wie TrickBot und QBot, die Bezahldaten und Kennwörter stehlen. Emotet wurde aber auch schon genutzt, um Ransomware einzuschleusen.

    Zuletzt hatte Blackberry im September vor einer Zunahme der Emotet-Angriffe gewarnt. Emotet soll vor allem über eine gute Infrastruktur für Angriffe verfügen. Zum Erfolg trage aber auch ein modularer Aufbau bei, der es erlaube, eine breite Palette von bösartigen Aktivitäten auszuführen und Funktionen zu verbessern.

    Quelle: Malware Emotet versteckt sich hinter gefälschtem Upgrade für Microsoft Word | ZDNet.de
  • Cybercrime: Trickbot lernt neuen Trick

    Emotet-Infektionen werden zukünftig noch gefährlicher. Denn die nachgeladene Malware könnte sich im BIOS festsetzen.

    Im Gefolge einer Emotet-Infektion landet häufig auch der Schädling Trickbot auf dem System. Dessen Hintermänner sind unter anderem auf Erpressung spezialisiert und haben sich bereits einige Tricks von den staatlichen Akteuren im Geheimdienstumfeld abgeschaut.

    So setzt Trickbot EternalBlue ein, um sich in Netzen auszubreiten. Das ist ein Exploit aus dem Werkzeugkasten der NSA. Außerdem kommen Pass-the-Hash-Angriffe mit Tools wie Mimikatz zum Einsatz. Das nutzte etwa die im Umfeld des russischen GRU verortete Gruppe Sofacy (APT28) unter anderem beim Einbruch in den Deutschen Bundestag.

    Aktuelles Sample analysiert
    Jetzt haben Sicherheitsforscher von Advanced Intelligence und Eclypsium bei einer Analyse von Trickbot-Samples eine neue, beunruhigende Entdeckung gemacht: ein Modul namens PermaDll stellt Methoden bereit, UEFI/BIOS-Firmware zu inspizieren und zu manipulieren.

    Damit kann Trickbot nach Firmware-Schwächen Ausschau halten. Über diese könnte es sich dann dauerhaft im UEFI/BIOS einnisten. Dort überlebt es auch eine komplette Neuinstallation des Rechners oder einen Austausch der Festplatte. Solche sogenannten Bootkits wurden bislang vornehmlich von Geheimdiensten zum Zweck der Cyber-Spionage eingesetzt. So setzte Sofacy das 2018 entdeckte UEFI-Bootkit Lojax als quasi unsichtbare Hintertür ein.

    Aus Trickbot wird Trickboot
    Trickbots neue UEFI-Funktionen tauften die Forscher jetzt Trickboot. Wie bereits zuvor erfand Trickbot dabei das Rad nicht neu, sondern setzt auf bereits bekannte Werkzeuge. In diesem Fall missbraucht es das Tool RWEverything- kurz für Read/Write Everthing - mit dem man unter anderem Firmware analysieren und beschreiben kann.

    Bislang setzt Trickbot diese neuen Fähigkeiten anscheinend nur zu Analysezwecken ein. Vermutlich um sich zunächst einen Überblick über die Systeme und deren Schwächen zu verschaffen. Doch bereits "eine Zeile Code könnte dieses Aufklärungsmodul in ein Angriffswerkzeug verwandeln" warnt Eclypsium. Und dann stünde den Cyber-Kriminellen ein ganzes Arsenal von Optionen zur Verfügung.

    Weiteres Druckmittel
    Sie könnten etwa ihre Lösegeldforderungen dadurch untermauern, dass sie wichtige Systeme irreversibel kaputt machen, indem sie diese auf den Wert eines Backsteins reduzieren ("bricken"). Oder sie hinterlassen bei besonders vielversprechenden Opfern etwa im UEFI-BIOS eines Druckers eine Hintertür, über die sie 1-2 Jahre nach einem Vorfall erneut ins Netz eindringen und einen Nachschlag fordern.

    Das bedeutet zum einen, dass zukünftig im Rahmen einer Incident Response nach Emotet/Trickbot-Vorfällen auch nach möglichen Hinterlassenschaften im UEFI/BIOS gesucht werden sollte. Und zum anderen, dass Administratoren in Firmennetzen zukünftig auch die Sicherheit der Firmware aller Geräte im Blick behalten sollten.

    Quelle: Cybercrime: Trickbot lernt neuen Trick | heise online
  • Polizeibehörden zerschlagen Infrastruktur der Emotet-Schadsoftware

    Das Bundeskriminalamt und die Staatsanwaltschaft Frankfurt haben einen Takedown der Infrastruktur der Emotet-Schadsoftware im Rahmen international koordinierter Maßnahmen eingeleitet. Die Schadsoftware auf zahlreichen Opfersystemen wurde für die Täter unbrauchbar gemacht und 17 Server in Deutschland beschlagnahmt.

    Es ist ein großer Erfolg für die internationale Zusammenarbeit der Strafverfolgungsbehörden. Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben am gestrigen Dienstag im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust übernommen und zerschlagen.

    Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat auch in Deutschland neben Computern zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert, wie beispielsweise die des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main. Emotet besaß als sogenannter „Downloader“ die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Banking, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen „Botnetzes“ wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy“ gegen Entgelt angeboten. Deshalb kann das kriminelle Geschäftsmodell von Emotet als „Malware-as-a-Service“ bezeichnet werden. Es bot weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe. Alleine in Deutschland ist durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.

    Die Ermittlungen von ZIT und BKA gegen die Betreiber der Schadsoftware Emotet und des Emotet-Botnetzes wegen des Verdachts des gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten werden seit August 2018 geführt.

    Im Rahmen dieses Ermittlungsverfahrens wurden zunächst in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation kontrolliert und gesteuert werden. Umfangreiche Analysen der ermittelten Daten führten zu der Identifizierung weiterer Server in mehreren europäischen Staaten. So konnten im Wege der internationalen Rechtshilfe weitere Daten erlangt und die Emotet-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden.

    Da sich die auf diese Weise identifizierten Bestandteile der Emotet-Infrastruktur in mehreren Ländern befinden, sind die gestrigen Maßnahmen zum „Takedown“ auf Initiative von ZIT und BKA in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbehörden durchgeführt worden. Beamte des BKA sowie Staatsanwälte der ZIT haben dabei in Deutschland bisher bereits 17 Server beschlagnahmt. Daneben sind auf Ersuchen der deutschen Strafverfolgungsbehörden auch in den Niederlanden, in Litauen und in der Ukraine im Rahmen von internationalen Rechtshilfemaßnahmen weitere Server beschlagnahmt worden.

    Durch dieses von Europol und Eurojust koordinierte Vorgehen ist es nicht nur gelungen, den Zugriff der Täter auf die Emotet-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel wurden gesichert. Zudem konnte im Rahmen der Rechtshilfemaßnahmen in der Ukraine bei einem der mutmaßlichen Betreiber die Kontrolle über die Emotet-Infrastruktur übernommen werden.

    Durch die Übernahme der Kontrolle über die Emotet-Infrastruktur war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurück zu erlangen, wurde die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können. Die dabei erlangten Informationen über die Opfersysteme wie z.B. öffentliche IP-Adressen werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt.

    Das BSI benachrichtigt die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider werden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stellt das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.

    Für ZIT und BKA stellt das Zerschlagen der Emotet-Infrastruktur einen bedeutenden Schlag gegen die international organisierte Internetkriminalität und zugleich eine wesentliche Verbesserung der Cybersicherheit in Deutschland dar.

    Quelle: Polizeibehörden zerschlagen Infrastruktur der Emotet-Schadsoftware | ZDNet.de