diverse Angriffswellen durch Emotet [Sammelthema]

  • Allgemein

  • mad.de
  • 4171 Aufrufe 13 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • diverse Angriffswellen durch Emotet [Sammelthema]

    Banking-Trojaner Emotet: Sicherheitsspezialisten entdecken neue Angriffswelle


    Emotet bleibt gefährlich, weil es sich immer wieder verändert. Es sorgt auch in Deutschland für hohe Schadensfälle, indem es weitere Schadprogramme nachlädt. Cisco Talos erwartet eine Zunahme modularer Malware-Familien wie Emotet.

    Ciscos Sicherheitssparte Talos hat in jüngster Zeit mehrere Malwarekampagnen mit dem Banking-Trojaner Emotet beobachtet, der seit Jahren immer wieder für umfangreiche Schadensfälle sorgt. Im Mittelpunkt stehen an E-Mails angehängte Microsoft-Word-Dateien, in denen bösartige Makros für den Download von Emotet eingebettet sind.

    Die jüngste Variante kann zusätzlich ermitteln, ob die kompromittierte Domain, von der aus die bösartigen Mails versandt werden, bereits auf einer Sperrliste verzeichnet ist. Damit können Angreifer sicherstellen, dass mehr ausgesandte Nachrichten tatsächlich bei potentiellen Opfern ankommen und nicht in Spamfiltern hängen bleiben.

    Wie schon bei früheren Angriffswellen setzen die Hintermänner Emotet ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.

    Emotet erreicht die Opfer meist über angehängte Office-Dokumente mit Makros, aber auch URL-basierte Spam-Nachrichten können zu einer möglichen Infektion führen. Laut Cisco Talos verändern und entwickeln sich die Kampagnen täglich, und auch die unterstützende Infrastruktur ist einem ständigen Wandel unterworfen. Zu beobachten sei, dass Emotet manche Kommando- und Kontrollserver über längere Zeiträume immer wieder verwendet.

    Emotet ist offenbar geschickt darin, die Betreffzeilen der versandten Mails immer wieder zu verändern, so dass selten eine große Anzahl von E-Mails mit einem identischen Betreff auffällt. Auch bei den zuletzt beobachten Kampagnen ging es vor allem um angebliche Rechnungen und anstehende Paketlieferungen. Die versandten E-Mails sind außerdem in verschiedenen Sprachen einschließlich Deutsch verfasst. Eine zweite Kampagnenversion setzt auf direkten URL-Download anstelle angehängter Office-Dokumente mit Makros, um die Malware ans Ziel zu bringen. Das Hosting der Malware erfolgt überwiegend auf zuvor kompromittierten Websites.

    Cisco Talos erwartet eine weitere Zunahme modularer Malware-Familien wie Emotet, die unterschiedliche Schadsoftware ausliefern und die Gewinnaussichten der Hintermänner maximieren. „Wie die kürzlich eingeführte Überprüfung auf Sperrlisten durch das Spam-Modul zeigt, sucht Emotet die finanziellen Vorteile unter allen Umständen zu maximieren und gleichzeitig Varianten weniger einzusetzen, die einen geringeren Ertrag versprechen“, kommentieren die Sicherheitsforscher. „Solche Veränderungen sind es, die Emotet am oberen Ende der Crimeware-Landschaft halten.“

    Schon im letzten Monat warnte die Deutsche Telekom ihre Kunden vor massenhaft versandten Phishing-Mails einer so genannten „Emotet-Gang“ von Cyberkriminellen. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.

    Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, geht das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und rät, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.

    Darüber hinaus meldet das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. Es gelte als eine der weltweiten gefährlichsten Malware-Bedrohungen und sorge auch in Deutschland für hohe Schadensfälle, indem es weitere Schadprogramme nachlädt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet, die das BSI im Rahmen der Allianz für Cyber-Sicherheit ausspricht.

    Quelle: Banking-Trojaner Emotet: Sicherheitsspezialisten entdecken neue Angriffswelle | ZDNet.de
  • Aktuelle Trojaner-Welle: Emotet lauert in gefälschten Rechnungsmails

    Offensichtlich hat es der Emotet-Schädling nun auf Privatpersonen abgesehen. Derzeit sind gehäuft gefälschte Amazon-, Telekom- und Vodafone-Mails unterwegs.

    Der Multifunktionstrojaner für Windows Emotet ist wieder im Umlauf und versteckt sich in vermeintlichen Telekom- und Vodafone-Rechnungen. Zudem sind vermehrt Fake-Amazon-Mails unterwegs. Wer dieser Tage so eine Mail bekommt, sollte auf keinen Fall den Anhang öffnen oder auf Links innerhalb der Nachricht klicken.

    BSI und LKA warnen
    Das CERT-Bund hat ein vermehrtes Aufkommen dieser Betrügermails beobachtet und warnt davor auf Twitter. Die Mails orientieren sich beim Layout und Text an Originalen und sie wirken auf den ersten Blick glaubhaft. Erst wer sich den Absender genau anschaut, erkennt, dass die Mail von einem kompromittierten Server und nicht von der Telekom oder von Vodafone versendet wurden.

    Die Macher der Betrügermails zielen darauf ab, dass Opfer den Dateianhang in Form einer unechten Rechnung öffnen. In der Regel sind das Word-Dokumente mit eingebetteten Makrofunktionen. Wer so ein Dokument öffnet und darin die Makros aktiviert, hat seinen Computer infiziert. Ein Hintergrundartikel von heise Security zeigt, wie man sich vor so etwas schützt und wie man sich im Ernstfall am effektivsten verhält.
    Das LKA Niedersachsen verzeichnet momentan ein enormes Aufkommen von gefälschten Amazon-Mails. In diesen finden sich Links, die ebenfalls zu Word-Dateien mit Makros führen, die nach dem Ausführen Emotet auf den Computer holen.

    Neu ausgerichtete Emotet-Kampagne
    Emotet sorgte Ende 2018 für Schlagzeilen, als der Trojaner ganze Firmen lahmlegte und Schäden in Millionenhöhe verursachte. Auch zu dieser Zeit warnte das CERT-Bund vor einer Infektionswelle. Zu diesem Zeitpunkt waren Unternehmen das Hauptziel der Kriminellen. Dabei setzten sie auf extrem gut gemachte Phishing-Mails, die angeblich von Arbeitskollegen oder sogar dem eigenen Chef stammten. Zum Teil griffen die Mails sogar aktuelle Projekte in Firmen auf, um die Glaubwürdigkeit zu steigern. Die Drahtzieher haben dafür akribisch Informationen über Opfer zusammengetragen und daraus eine neue Generation von Phishing-Mails gestrickt. Die maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen.

    Nun scheinen Privatpersonen im Fokus zu stehen und die Emotet-Drahtzieher setzen auf altbewährte Phishing-Mails mit gefälschten Rechnungen. Die Masche mit Makroviren ist gefühlt uralt – funktioniert aber offensichtlich immer noch.
    Emotet ist äußerst gefährlich und perfide, weil er äußerst vielseitig einsetzbar ist. Zum Beispiel holt er nach einer Infektion beispielsweise den Banking-Trojaner Trickbot auf Computer. Außerdem kopiert er Passwörter aus Browsern und Mail-Clients, kann sich wurmartig in Netzwerken verbreiten und effektiv vor Schutzsoftware verstecken. Darüber hinaus soll sich die weiterentwickelte aktuelle Version noch effektiver durch Spamfilter mogeln, erläutern Sicherheitsforschervon Cisco Talos in einem Beitrag.

    Quelle: Aktuelle Trojaner-Welle: Emotet lauert in gefälschten Rechnungsmails | heise online
  • Emotet: CERT-Bund warnt vor gefälschten Microsoft-Mails

    Die Phishing-Mails verwenden geschickt die Floskeln echter Aussendungen, um zu Klicks zu verleiten. Die Opfer handeln sich damit die modulare Malware Emotet ein. Emotet begann als Banking-Trojaner, fiel zuletzt aber auch durch Ransomware-Infektionen auf.

    Die Windows-Malware Emotet wird über eine neue Angriffswelle mit E-Mails verbreitet, die angeblich von Microsoft kommen und über Änderungen eines Servicevertrags informieren. Vor den in großem Umfang versandten Phishing-Mails warnt das CERT-Bund (Computer Emergency Response Team der Bundesverwaltung), das im BSI angesiedelt ist: „NICHT die Links in der E-Mail anklicken!“

    Im Gegensatz zu vielen anderen Phishing-Kampagnen wirken Gestaltung und Text der gefälschten Mails glaubwürdig. Sie sind nicht in Radebrech-Deutsch gehalten, ihre Rechtschreibung ist stimmig. Sie bedienen sich einfach bei den Floskeln und juristischen Formulierungen echter Aussendungen, um zu unüberlegten Klicks zu verleiten. In Onlineforen fragen sich verunsicherte Nutzer nicht ohne Grund immer wieder, ob solche eingegangenen E-Mails echt sind oder nicht.

    „Der Servicevertrag ist jetzt übersichtlicher gestaltet“, heißt es in den gefälschten Mails. Sie erreichen die Empfänger angeblich aufgrund von Änderungen am Microsoft-Servicevertrag, der für von ihnen genutzte Produkte gelte. „Die Nutzung unserer Heimanwenderprodukte und -dienste (einschließlich Käufen) ab dem 13. Februar 2019 gilt als Zustimmung ihrerseits zum aktualisierten Microsoft-Servicevertrag“, erklärt die Aussendung dann. „Wenn Sie den Bestimmungen nicht zustimmen, können Sie die Produkte und Dienste nicht mehr nutzen und sollten Ihr Microsoft-Konto schließen, bevor die Bestimmungen in Kraft treten.“

    Die enthaltenen Links führen angeblich zu einem vollständigen neuen Microsoft-Servicevertrag und einem Formular zur Schließung des Microsoft-Kontos. Der Text spricht auch noch ausdrücklich Elternteile oder sonstige Erziehungsberechtigte an, da sie für die Nutzung von Microsofts Produkten und Diensten durch ihre Kinder oder Teenager verantwortlich seien. „Vielen Dank, dass Sie Produkte und Dienste von Microsoft nutzen“, schließt die Phishing-Mail.

    Emotet wird immer wieder verwendet
    Eine ähnliche Emotet-Angriffswelle zielte im Dezember auf Kunden der Deutschen Telekom. An die Mails waren gefälschte Rechnungen als Word-Dateien angehängt, die Makros enthielten. Ließen Empfänger deren Ausführung zu, mussten sie mit der Installation von Malware rechnen. Schadsoftware konnte sich auch einhandeln, wer auf in einem angehängten PDF-Dokument enthaltene Links klickte.

    Die Telekom empfahl die sofortige Löschung verdächtiger Mails, ohne auf Links innerhalb einer solchen Nachricht zu klicken. Während sie im Fall einer bereits erfolgten Infektion die Säuberung mit einer Software wie EU-Cleaner empfahl, ging das BSI für Bürger in einer aktuellen Information zur Schadsoftware Emotet weiter und riet, einen infizierten Rechner neu aufzusetzen. Bereinigungsversuche bleiben laut BSI in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben. Darüber hinaus meldete das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass Emotet ganze Unternehmensnetzwerke lahmlegt. An Unternehmen und Institutionen richten sich die empfohlenen Maßnahmen zum Schutz vor Emotet, die das BSI im Rahmen der Allianz für Cyber-Sicherheit aussprach.

    Im Januar berichtete Ciscos Sicherheitssparte Talos von mehreren aktuellen Malwarekampagnen, in deren Mittelpunkt an E-Mails angehängte Microsoft-Word-Dateien stehen, in denen bösartige Makros für den Download von Emotet eingebettet sind. Laut Talos setzen die Hintermänner Emotet inzwischen ein, um modulare Schadsoftware auszuliefern. Neben Banking-Trojanern können das auch andere Bedrohungen wie etwa Ransomware sein. Die Auswahl der Module erfolgt offenbar nach den jeweils besten Aussichten, mit den infizierten Systemen Geld zu verdienen. Emotet begann einst als reiner Banking-Trojaner, hat sich aber in den letzten Jahren immer weiter entwickelt und fiel in jüngerer Zeit durch zahlreiche gezielte Infektionen mit Ryuk-Ransomware auf.

    Quelle: Emotet: CERT-Bund warnt vor gefälschten Microsoft-Mails
  • Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

    Derzeit sind erneut vermehrt E-Mails mit Fake-Rechnungen in Umlauf. Wer nicht aufpasst, fängt sich den Windows-Trojaner Emotet ein.

    Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer.
    Dieser Tage landen gehäuft gefälschte Rechnungen in Mail-Postfächern. Im Anhang dieser Nachrichten befindet sich ein PDF-Dokument. Die Mails weisen Betreffzeilen wie "Zahlungsanfrage" oder "Fehlende Rechnung" auf.

    Mehrere Leser haben heise Security solche Mails weitergeleitet. Der Text in den Mails ist kurz und knapp und variiert. Wirklich überzeugend wirkt das nicht – es gab schon weitaus glaubhaftere und somit gefährlichere Rechnungsmails. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund warnt auf Twitter vor diesen Nachrichten. Auch das LKA Niedersachsen beobachtet derzeit ein erhöhtes Aufkommen.

    Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen
    Die gefälschten Mails stammen von kruden Absender-Adressen wie Kfz-Tchnik@moldocor.ro. Im PDF ist ein Link zu einem mit Makros präparierten Word-Dokument.

    Vom PDF zum Word-Dokument zum Trojaner
    Wer so eine Mail bekommt, sollten den Anhang nicht herunterladen und die Nachricht löschen. Die Drahtzieher dieser Spam-Kampagne wollen über diesen Weg Windows-Computer mit dem Multifunktionstrojaner Emotet anstecken. Das alleinige Öffnen des PDFs löst aber noch keine Infektion aus.

    In dem Dokument befindet sich ein Link, der zu einem Word-Dokument führt. Dieses ist mit Makros präpariert. Der Text darin versucht, Opfer dazu zu bringen, die Makros zu aktivieren. In der Regel ist diese Funktion standardmäßig deaktiviert. Eigentlich sollen Makros beispielsweise wiederkehrende Aufgaben bei der Erstellung eines Dokumentes zu automatisieren. In diesem Fall missbrauchen die Betrüger die Funktion aber dazu, um den Schädling herunterzuladen. Für eine erfolgreiche Infektion müssen Opfer also mehrere Schritte mitmachen.

    Parallel dazu sind auch wieder Fake-Rechnungsmails mit einem gefährlichen Link unterwegs, die von vermeintlich Bekannten oder Arbeitskollegen stammen. Diese maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen. Die heise Security vorliegende Mail ist aber nicht sehr gut gemacht.

    So schützt man sich
    Diese Form von Makros funktionieren aber nur mit Microsoft Office. Nutzer von LibreOffice und OpenOffice sollten nicht gefährdet sein. Wie man sich vor Emotet & Co. schützen kann, zeigt ein Hintergrundartikel von heise Security.

    Wie sich Unternehmen auf die Gefahren durch Emotet und Co. optimal vorbereiten können, das ist auch einer der Schwerpunkte der diesjährigen Heise-Security-Tour "Wissen schützt - Cybercrime Next Generation abwehren". Das Thema spielt auch auf der im März in Hannover stattfindenden secIT 2019 eine Rolle.

    Perfider Schädling
    Ende 2018 gab es eine große Emotet-Welle, unter der vor allem Unternehmen litten. Dabei entstanden Schäden in Millionenhöhe. Ende Januar hing Emotet an gefälschten Vodafone-Rechnungen, um Privatpersonen ins Visier zu nehmen.

    Emotet ist besonders gefährlich, weil er vielseitig einsetzbar ist. Er kann etwa den Banking-Trojaner Trickbot auf Computer holen und Passwörter aus Browsern und Mail-Clients kopieren. Außerdem kann er sich in Netzwerken wurmartig verbreiten.

    Quelle: Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen | heise online
  • Trojaner Emotet zielt auf Apple-Kunden ab

    Mit einer gefälschten Warn-E-Mail wollen Kriminelle nun Apple-Nutzer dazu bringen, den Emotet-Schädling auf den Computer zu lassen.

    Um weitere Opfer für den Windows-Trojaner Emotet zu finden, haben es Unbekannte nun auch speziell auf Apple-Kunden abgesehen. Eine gefälschte, vorgeblich vom Apple-Support stammende E-Mail fordert den Empfänger dazu auf, einem Link zu folgen, um so angeblich eine Deaktivierung und Löschung bestimmter Apple-Dienste zu verhindern. Die Mails mit dem Betreff "Nachricht von Apple" gaukeln vor, das Unternehmen habe den "Zugriff zu ihrem Kundenkonto eingeschränkt". Um den Account wieder zu aktivieren, müsse man nur dem Link folgen.
    Link in vorgeblicher Apple-Mail keinesfalls anklicken!!!

    Darüber werde aber das Schadprogramm Emotet verbreitet, wie CERT-Bund inzwischen warnt, Empfänger sollten den Link keinesfalls anklicken. Als Absender werden auch legitime Accounts genutzt, um so Spam-Filter zu umgehen, merken die Sicherheitsforscher des Bundesamtes für Sicherheit in der Informationstechnik an.

    Seit rund einem Monat treibt der Trojaner Emotet wieder verstärkt sein Unwesen und zielt inzwischen vorrangig auf Privatpersonen ab, dafür kamen bislang vor allem gefälschte Mails von Amazon, Telekom und Vodafone zum Einsatz – sowie aktuell auch von der Sparkasse, wie CERT-Bund ausführt. Gewöhnlich soll auf diese Weise versucht werden, den Nutzer zum Download eines Word-Dokumentes mit eingebetteter Makrofunktion zu locken. Wird dieses geöffnet und das Ausführen der Makros erlaubt, kann der Schädling so den Computer infizieren.

    Makro-Malware auf für den Mac möglich
    Bislang scheint Emotet rein auf Windows-Systeme abzuzielen, mit den gefälschten Apple-Mails sollen also iPhone-Besitzer mit iCloud-Account und Windows-PC angesprochen werden. Vereinzelt sind in den vergangenen Jahren aber auch manipulierte Word-Dokumente aufgetaucht, deren Makro-Malware speziell auf macOS ausgelegt ist – entsprechend sollten auch Mac-Nutzer Links und Dokumente in derartigen Warn-Mails keinesfalls anklicken und öffnen.

    Quelle: Trojaner Emotet zielt auf Apple-Kunden ab | heise online
  • Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter

    Mit Hilfe von früher abgegriffenen E-Mails basteln die Kriminellen absolut echt wirkende Dynamit-Phishing-Mails.

    Bereits seit Herbst vorigen Jahres sammelt Emotet auf jedem infizierten System die dort gespeicherten Outlook-Mails ein. Bisher nutzte es die nur, um plausible Absender und Empfänger für weitere Phishing-Mails zu erzeugen. Doch jetzt nutzt es den tatsächlichen Inhalt der gestohlenen Mails, um das noch weiter zu perfektionieren.

    heise Security und c't warnten bereits 2018, dass weiter perfektionierte Dynamit-Phishing-Aktivtäten zu erwarten sind. Jetzt dokumentiert das CERT-Bund erstmals einen Fall, in dem diese Befürchtungen tatsächlich Realität werden. Eine Dynamit-Phishing-Mail der Emotet-Bande hängt die gestohlenen Mails an, um so eine bereits existierende Kommunikation wieder aufzugreifen. Außerdem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein. Ziel des Ganzen ist es nach wie vor, den Empfänger zum Öffnen einer Word-Datei zu verleiten und in dieser das "Bearbeiten" zu aktivieren, was das heimliche Ausführen von Schadcode ermöglicht.

    heise Security hat in Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle bereits praktische Tipps zum Schutz zusammengestellt, die nach wie vor gültig sind. Die ab Ende April startende heise-Security-Konferenz erklärt den Sicherheitsverantwortlichen von Unternehmen ganz konkret, was im Zug dieser neuen Generation von Cybercrime noch alles auf sie zukommt und wie Sie sich und ihr Unternehmen sinnvoll darauf vorbereiten. Die Eintagesveranstaltung findet in Berlin, Stuttgart, Hamburg, Köln, Stuttgart und Salzburg statt.

    Quelle: Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter | heise online
  • Sommerferien vorbei – Emotet ist zurück

    Seit Freitag früh sind die Server der wohl gefährlichsten Cybercirme-Bande wieder aktiv.

    In den vergangenen Monaten war es recht still geworden um die vielleicht bösartigste Schadsoftware: Keine neuen Dynamit-Phishing-Wellen, keine spektakulären Infektionen – selbst die Emotet-Server-Infrastruktur war auf Tauchstation gegangen. Doch wie die Experten im Online-Fachgespräch Cybercrime von heise Security bereits vermuteten, war es zu Früh für Entwarnung: Am heutigen Freitag nun meldet das CERT-Bund neue Emotet-Aktivitäten.

    Natürlich ist es Spekulation, dass sich die Kriminellen nach ihrem überaus erfolgreichen Jahresbeginn einen längeren Sommerurlaub gegönnt haben und jetzt ihre Server wieder hochfahren. Doch Fakt ist, dass diese seit Freitag morgen wieder aktiv sind und neue Schad-Module an bereits infizierte Systeme ausliefern. Was diese konkret machen, ist derzeit noch unbekannt. Aber man sollte sich auf jeden Fall auch auf neue Wellen von Emotets Dynamit-Phishing vorbereiten.

    Lernen aus unseren Fehlern
    Emotet hatte Anfang des Jahres seine Aktivitäten stark ausgeweitet. Mit extrem gut gemachten Phishing-Mails gelang es dem Schädling immer wieder, in Unternehmen einzudringen. In vielen Fällen wurden dort danach wichtige Daten verschlüsselt und Lösegeld erpresst. Zu den Opfern zählen neben unzähligen kleineren mittelständischen Unternehmen auch Stadtverwaltungen und Krankenhäuser, bei denen dann oft tage- und wochenlang gar nichts mehr ging. Auch Heise hatte einen Emotet-Vorfall.

    Wie man sich vor Emotet und anderen fortgeschrittenen Cybercrime-Gefahren systematisch schützt, erklärt das heise-Security-Webinar Emotet bei Heise - Lernen aus unseren Fehlern. Darüber hinaus diskutieren Exerten im Online-Fachgespräch Schutz vor Cybercrime weitergehende Fragen zum Thema.

    Quelle: Sommerferien vorbei – Emotet ist zurück | heise online
  • Ransomware: Neue Emotet-Welle legt Neustädter Stadtverwaltung lahm

    Der Erpressungstrojaner Emotet hat das Netzwerk der Stadtverwaltung Neustadt am Rübenberge gekapert. Bis mindestens Freitag bleiben die Bildschirme schwarz.

    Mehrere Ämter der Stadtverwaltung Neustadt am Rübenberge bei Hannover sind offiziellen Angaben zufolge Opfer eines Angriffs durch die Ransomware Emotet geworden.
    Die Verwaltung ist noch bis mindestens Freitag lahmgelegt: "Wir dürfen unsere Rechner nicht mehr anschalten", sagte eine Sprecherin der Stadt. Die Behörden hätten derzeit nur für telefonische oder mündliche Beratungen geöffnet, die Zulassungsstelle für Kraftfahrzeuge bleibe ganz geschlossen. Auch ist es laut einer Meldung des NDR derzeit nicht möglich, Personalausweise oder Reisepässe zu beantragen.
    Die Bürger hätten sich auf die Lage eingestellt: "Chaos ist nicht ausgebrochen", sagte die Sprecherin. In dringenden Fällen könnten sich die Menschen an Behörden in Nachbarorten wenden.
    Die IT der Stadtverwaltung hatte den Trojanerbefall am vergangenen Freitag bemerkt und die Systeme offline genommen, um weitere Ausbreitung zu verhindern. Experten sind derzeit damit beschäftigt, den Schaden zu analysieren; auch das Landeskriminalamt ermittelt.

    Zurück aus der Sommerpause
    Der Verschlüsselungstrojaner Emotet hatte Anfang dieses Jahres seine Aktivitäten stark ausgeweitet: Mit extrem gut gemachten Phishing-Mails gelang es dem Schädling immer wieder, in die Netzwerke von Unternehmen und Behörden einzudringen. In vielen Fällen wurden anschließend wichtige Daten verschlüsselt und Lösegeld erpresst.
    In der Stadt und Region Hannover zählte unter anderem auch Heise zu Emotets Angriffszielen. Zudem attackierte der Trojaner Ende vergangenen Jahres – ebenfalls mit Erfolg – die Stadtverwaltung von Burgdorf. Auch damals blieben die Behörden mehrere Tage offline.
    Nach ein paar Monaten "Sommerferien", während der die Command-and-Control-Server abgeschaltet waren, treibt Emotet seit August wieder sein Unwesen.

    Mehr zum Thema Emotet und wie man sich schützen kann:
    Trojaner-Befall: Emotet bei Heise
    Schutz vor Emotet: Besserer Umgang mit Doc-Dateien
    Emotet-Webinare von heise Security: Aufzeichnungen als Bundle im heise shop

    Quelle: Ransomware: Neue Emotet-Welle legt Neustädter Stadtverwaltung lahm | heise online

    Update 17.09.2019:

    Emotet-Befall: Neustädter Verwaltung weiterhin außer Gefecht

    Über eine Woche nach dem Befall des EDV-Systems der Neustädter Verwaltung mit Emotet laufen noch nicht wieder alle Dienste – und das könnte andauern.

    Die mit der Schadsoftware Emotet infizierten Rechner der Neustädter Verwaltung sind immer noch nicht wieder voll einsatzbereit. Einige Dienstleistungen können deshalb noch nicht angeboten werden. Nach Angaben der Stadtverwaltung Neustadt am Rübenberge in Niedersachsen bei Hannover stehen zwar wieder "funktionsfähige Arbeitsplätze im Stadtbüro" zur Verfügung, aber das Aufspielen der Anwendungen nehme noch einige Zeit in Anspruch. Ursprünglich sollten die Systeme bereits am 16. September wieder einsatzbereit sein, hatte es zunächst geheißen.
    Betroffen sind weiterhin die Kfz-Anmeldung, -Ummeldung und -Abmeldung sowie das Ratsinformationssystem der Stadt. Die Bürger sollen deshalb auf die Kfz-Zulassungsstellen in Wunstorf oder in der Wedemark ausweichen. Das Ratsinformationssystem, in dem Sitzungstermine des Rates und der Ausschüsse sowie deren Beschluss- und Informationsvorlagen aufgelistet werden, ist weiterhin nicht funktionsfähig. Hier befinden sich lediglich Informationen bis zum 04. September, weil derzeit keine Aktualisierung möglich ist, teilte die Stadtverwaltung mit.
    Das Standesamt soll dagegen wieder voll einsatzbereit sein. Die Rechner der Mitarbeiter seien funktionstüchtig und Anfragen könnten entgegengenommen und bearbeitet werden.

    Ausfalldauer ungewiss
    Unklar ist, wie lange der Ausfall einiger Dienstleistungen noch anhalten wird. Nach Angaben der Verwaltung arbeiten interne und externe IT-Experten "mit Hochdruck" daran, die Systeme wieder in den Griff zu bekommen. Bis es soweit ist, sollten sich Bürger vorab telefonisch im Stadtbüro melden, um abzuklären, ob die jeweils gewünschte Dienstleistung überhaupt erbracht werden kann.
    Die Stadtverwaltung hatte nach dem Bemerken der Schadsoftware Emotet am 06. September die Systeme offline genommen. Wie der Schädling in das Behördennetz kam, ist zunächst noch unklar oder zumindest nicht kommuniziert. Das Landeskriminalamt ist eingeschaltet und ermittelt in der Sache.
    Bereits Ende 2018 war die Stadtverwaltung von Burgdorf in der Region Hannover von Emotet betroffen gewesen, sodass Dienstleistungen über mehrere Tage nicht erbracht werden konnten. Auch Heise war von Emotet betroffen. Im Sommer war es zunächst still um die Schadsoftware geworden, sie scheint jedoch seit August wieder verstärkt aufzutreten.

    Quelle: Emotet-Befall: Neustädter Verwaltung weiterhin außer Gefecht | heise online

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de () aus folgendem Grund: Update 17.09.2019

  • Trojaner-Alarm: BSI warnt vor zunehmenden Emotet-Angriffen

    "Seit rund einer Woche wird Emotet wieder massenhaft versandt" und tausende sind akut betroffen. Neuerdings sind auch Privatanwender im Visier.

    "Erhebliche Schäden in der deutschen Wirtschaft, aber auch bei Behörden und Organisationen" bilanziert das BSI allein für die Emotet-Angriffe der jüngsten Tage. Mehrere tausend E-Mail-Konten von Unternehmen und Bürgern, die durch eine Infektion mit Emotet kompromittiert wurden, habe es bei den zuständigen Providern gemeldet. Neu ist, dass Emotet derzeit auch Schadsoftware zum Online-Banking-Betrug nachlädt.

    In den vergangenen Monaten war es etwas ruhiger um Emotet geworden; doch jetzt ist die Sommerpause offenbar vorbei und die Betrüger arbeiten wieder mit Hochdruck. Das läuft dann nach dem bekannten Schema ab: Die Opfer erhalten eine E-Mail, die sich als Antwort auf eine früher tatsächlich verschickte Mail ausgibt. So kommt die Mail scheinbar von einem bekannten Absender, mit dem man tatsächlich in Kontakt steht. Die dafür benötigten Daten stammen aus früheren Emotet-Infektionen. Beim Öffnen der angehängten Datei erscheint eine Meldung, die zum Aktivieren des Inhalts ("Enable Content") auffordert, was dann die Infektion auslöst. Einmal im Netz breitet sich Emotet über verschiedene Mechanismen weiter aus.

    Die Folgen von Emotet
    Die Kriminellen hinter Emotet verdienen ihr Geld damit, dass sie infizierte Systeme an andere Cyber-Gangs weiterverkaufen, deren Schad-Software dann nachgeladen wird. Für Deutschland hatte bisher die Trickbot-Bande anscheinend einen Exklusiv-Deal. So kam im Gefolge einer Emotet-Infektion zumeist der Trickbot-Schädling und dann der Verschlüsselungs-Trojaner Ryuk auf die Firmenrechner. Die legt dann auf Kommando ganze Firmen lahm und präsentiert Lösegeldforderungen nicht selten im sechsstelligen Bereich.

    Seit etwa einer Woche wird auch in Deutschland vermehrt ein Schad-Programm zum Online-Banking-Betrug nachgeladen. Das setzt offenbar einen Trick ein, der bereits früher von Zeus erfolgreich genutzt wurde: Beim Aufruf der Onlie-Banking-Seiten blendet der Trojaner einen Dialog ein, dass man Handy-Nummer und -Typ angeben müsse, um eine zusätzliche Sicherheits-App zu installieren (An die Leser: hat davon jemand Screenshots?). Kurze Zeit später wird ein Link zu dessen Installation an das Handy geschickt. Nach der Installation leitet diese mTANs an die Betrüger weiter.

    Jetzt vorbeugen
    Das BSI rät dringend, Schutzmaßnahmenvor einem Befall mit Emotet zu ergreifen und präsentiert diese auf einer eigenen Seite.

    Auch Heise hatte kürzlich einen Emotet-Vorfall, den wir ausführlich dokumentiert haben. Im Webinar "Emotet bei Heise -- Lernen aus unseren Fehlern" erläutern wir darüber hinaus ausführlich, welche Versäumnisse die Infektion und vor allem die nachfolgenden Ausbreitung begünstigt haben und wie man sich besser davor schützen kann. Das Webinar richtet sich an IT- und Sicherheitsverantwortliche in Unternehmen und kostet 149 Euro.

    Quelle: Trojaner-Alarm: BSI warnt vor zunehmenden Emotet-Angriffen | heise online
  • Emotet befällt Medizinische Hochschule Hannover

    Die Schadsoftware Emotet hat das Netzwerk der Medizinischen Hochschule Hannover befallen. Laut Klinik sind 170 Rechner betroffen.

    Emotet hat wieder zugeschlagen: Seit Montag kämpft die IT der Medizinischen Hochschule Hannover (MHH) mit dem Befall durch die Schadsoftware. Das bestätigte ein Kliniksprecher gegenüber der Hannoverschen Allgemeinen Zeitung (HAZ) am Donnerstag. Demnach wurden in dem Universitätsklinikum 170 Rechner unter Quarantäne gestellt.

    Die IT-Experten der MHH hätten den Befall unter Kontrolle, sagte der Sprecher weiter. Seit Mittwoch habe es keine Neuinfektionen gegeben. Patientendaten seien nach derzeitigem Kenntnisstand nicht betroffen. Da Emotet aber zwecks Verbreitung Mails absucht, könne deren Verbreitung nicht ausgeschlossen werden.

    Erst vor wenigen Tagen hatte das BSI vor zunehmenden Emotet-Angriffen gewarnt. Die Aktivitäten haben seit gut einem Monat stark zugenommen. So setzte ein Emotet-Befall die Neustädter Verwaltung außer Gefecht. Auch Krankenhäuser waren von Cyber-Attacken betrroffen, wie ein Fall in Rheinland-Pfalz zeigte.

    Im Mai gab es einen Emotet-Vorfall im Heise-Verlag, den wir ausführlich dokumentiert haben. Im Webinar "Emotet bei Heise – Lernen aus unseren Fehlern" erläutern wir ausführlich, welche Versäumnisse die Infektion und vor allem die nachfolgenden Ausbreitung begünstigt haben und wie man sich besser davor schützen kann. Auch das BSI stellt im Rahmen der Allianz für Cybersicherheit Informationen eine Übersicht zu Maßnahmen zum Schutz vor Emotet vor.

    Quelle: Emotet befällt Medizinische Hochschule Hannover | heise online
  • Gefährlichste Schadsoftware der Welt: BSI warnt vor gefährlichem Banking-Trojaner

    Das BSI schlägt erneut Alarm: Der gefährliche Banking-Trojaner Emotet treibt nach wie vor im Netz sein Unwesen. Der Trojaner versteckt sich in harmlos aussehenden E-Mails und kann inzwischen nicht mehr nur Ihre Online-Banking-Daten auslesen, sondern auch einen zusätzlichen Verschlüsselungstrojaner auf das System nachladen. Wir erklären, wie Sie bei einem Befall richtig reagieren und wie Sie sich schützen können.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine bereits im Dezember 2018 ausgesprochene Warnung vor dem Onlinebanking-Trojaner Emotet erneuert. Nach einer "Sommerpause" lande nun wieder massenhaft Spam mit dem Schädling im Schlepptau in den Mail-Postfächern - von vielen Virenscannern oft noch unerkannt.

    Als wichtigste Schutzmaßnahme gilt deshalb: Auch und gerade bei vermeintlich bekannten Absendern Anhänge - insbesondere Office-Dokumente - nicht gleich öffnen und auf Links nicht sofort klicken. Im Zweifel sollte man beim angeblichen Absender anrufen, um den Versand der Mail, ihren Inhalt und die Anhänge zu verifizieren.

    Ist Emotet erst einmal auf den Rechner gelangt, nimmt das Unheil seinen Lauf: Der Trojaner lädt nicht nur die Onlinebanking-Zugangsdaten ausspionierende Schadsoftware Trickbot nach. Immer häufiger lotse Emotet auch den Verschlüsselungstrojaner Ryuk auf den Rechner, warnt das BSI. Dessen perfide Spezialität ist neben dem Verschlüsseln von Dateien das Löschen von Backups, falls er welche findet - quasi um die Zahlungsbereitschaft der Erpressten zu erhöhen.

    "Erneut erreichen uns zahlreiche Meldungen zu erfolgreichen #Emotet-Infektionen. Die Schäden können erheblich sein.
    Emotet-Spam-Mails antworten auf echte E-Mails und wirken daher besonders authentisch.
    Weitere Informationen und Schutzempfehlungen unter: BSI - Presseinformationen des BSI - Zunahme von erfolgreichen Cyber-Angriffen mit Emotet – BSI rät zu Schutzmaßnahmen pic.twitter.com/FSn0de0rNQ
    — BSI (@BSI_Bund) September 24, 2019"

    Bei Emotet-Befall: So handeln Sie richtig
    Da Emotet auch Kontaktinformationen und -beziehungen sowie Kommunikationsinhalte aus E-Mail-Programmen abgreift, kämen die authentisch wirkenden Spam-Mails zustande, erklärt das BSI weiter. Es handele sich um einen teils automatisierten Social-Engineering-Angriff, der auch deshalb so erfolgreich sei, weil Spam-Mail-Empfänger vorgeblich von den Absendern Nachrichten erhielten, mit denen sie tatsächlich zuletzt in Kontakt standen.

    Grundsätzlich rät das BSI Anwendern, regelmäßig alle ihre Daten auf einem externen Datenträger zu sichern, um einem Totalverlust durch einen Schädlingsbefall vorzubeugen.

    Anwender, deren System von Emotet befallen worden ist, sollten der Behörde zufolge sofort ihr Umfeld über die Infektion informieren, denn Mail-Kontakte und speziell die letzten Konversationspartner sind besonders gefährdet. Zudem sei es sinnvoll, alle Passwörter zu ändern, die auf befallenen Rechnern gespeichert waren - etwa in Browsern.

    Schlussendlich empfiehlt das BSI, Rechner mit Emotet-Infektion besser neu aufzusetzen, weil der Trojaner und nachgeladene Schadsoftware teils tiefgreifende und sicherheitsrelevante Änderungen am System vornehmen.

    Quelle: BSI warnt vor gefährlichster Schadsoftware der Welt - CHIP
  • Emotet: Berliner Kammergericht bleibt bis 2020 weitgehend offline

    Mitarbeiter des hohen Berliner Gerichts können ihre Computer nur noch als Schreibmaschine nutzen. Der Notbetrieb soll bis 2020 dauern.

    Vor einem Monat sah sich das Berliner Kammergericht gezwungen, nach einem Angriff mit dem mächtigen Trojaner Emotet sein gesamtes Computersystem vom Internet abzukoppeln. Dieser für die Betroffenen schwierige Zustand wird auch noch eine Weile so bleiben. Er rechne damit, dass die Institution "nicht vor 2020" wieder normal online gehen könne, erklärte der Präsident des Hauses, Bernd Pickel, gegenüber dem Tagesspiegel. Bis dahin wolle man den aktuellen "provisorischen Betrieb ausbauen und erträglicher machen".

    Alle Daten noch da
    Die Rechtspflege funktioniere generell auch ohne das Netz, betonte Pickel in dem Interview: "Unsere Improvisationsfähigkeit ist groß." Dies treffe allerdings auch auf die Erschwernisse während des derzeit eingerichteten Notbetriebs zu. "Alle Daten sind noch da", sprach der Jurist von Glück im Unglück und dem prinzipiellen Erhalt des "Golds" der Kollegen. "Dem Trojaner ist es nicht gelungen, Dokumente abzuschöpfen oder zu verschlüsseln." Die IT-Verantwortlichen trauten sich aber noch nicht, mit dem Datenbestand wieder ans Netz zu gehen. Es sei unklar, ob sich die Malware noch darin befinde und "sich nur schlafend stellt".

    Aktuell gilt als gesichert, dass Emotet das Netz des obersten Straf- und Zivilgerichts des Landes Berlin per E-Mail infizierte und nicht etwa via USB-Sticks, mit denen viele Richter Dokumente vom Heimarbeitsplatz mit ins Gericht nehmen und umgekehrt. Die Nutzung der portablen Speichergeräte ist trotzdem inzwischen an der Einrichtung untersagt.

    Das IT-Dienstleistungszentrum der Berliner Verwaltung (ITDZ), das den Mailverkehr der Justizinstanz betreut, informierte diese am 25. September über Hinweise auf den Befall mit dem "König der Schadsoftware". Daraufhin habe man die Rechner sofort vom Internet genommen, berichtete Pickel. Nach zwei Tagen seien die Computer auch vom internen Landesnetz getrennt worden. Dies sei eine schwierige Entscheidung gewesen, da so auch einschlägige Fachverfahren nicht mehr genutzt werden könnten.

    Eigene IT unerlässlich
    Das in weiten Teilen in Eigenregie betreute IT-System sei nicht so "getrimmt" gewesen, "dass es Angriffen von außen standhält", räumte der Leiter des Gerichts ein. "Wir müssen deshalb, wie andere Emotet-Opfer, unseren Virenschutz neu aufstellen." Er hält es für unerlässlich, "dass man eine kleine, aber innovative IT-Stelle hat", um als "Schnellboot" etwa eigene Fachverfahren oder die künftige elektronische Akte einführen zu können. Der Mailverkehr und andere übergeordnete IT-Anwendungen sollten aber künftig "wie bei den Amtsgerichten und dem Landgericht beim ITDZ organisiert werden".

    Bislang gebe es für die Mitarbeiter "kein Handbuch, auf dem steht: Das ist die IT-Policy", ließ Pickel durchblicken. Es existierten aber diverse Regeln. So erhielten neue Kollegen etwa bei der Einstellung Hinweise insbesondere zur Datenschutz-Grundverordnung (DSGVO) und eine einschlägige, allerdings schon aus 2006 stammende IT-Dienstvereinbarung. Ihm sei es aber wichtiger, "die Mitarbeiter durch Anleitungen, Empfehlungen und praktische Hilfen zu unterstützen".

    Künftig will das Kammergericht laut seinem Präsidenten eine "Ein-Geräte-Strategie" verfolgen, "also dass Richter Dienst-Notebooks haben, die sie hier und zu Hause verwenden können und mit denen sie immer und nur in unserem System arbeiten". Die Rechner sollen "hier dann auch upgedated und mit richtigem Virenschutz versehen" werden. Dieses Maßnahme sei eigentlich für später geplant gewesen, solle aber jetzt vorgezogen werden.

    Mehrere Dutzend Notfall-PCs
    Momentan seien 30 Notfall-PCs eingerichtet worden, "die jetzt im Netz des ITDZ arbeiten", noch einmal so viele kämen "demnächst hinzu", führte Pickel aus. Das eigene Fachverfahren laufe wieder, sodass auch Rechnungen wieder bezahlt werden könnten. Mitarbeiter seien zudem immerhin wieder imstande, "lesend auf die möglicherweise kontaminierten Daten zuzugreifen".

    "Wir können unsere Computer schon weiter nutzen – als Schreibmaschinen halt", hatte sich zuvor ein betroffener Richter gegenüber der Frankfurter Allgemeinen Zeitung beklagt. Man gehe jetzt wieder oft in die Bibliothek. Für Akten aus Prozessen und laufende Verfahren ist an dem Gericht aber eh noch die Papierform verbindlich.

    Ein Sprecher der Senatsjustizverwaltung unterstrich gegenüber heise online, dass die Gerichte in Berlin in ihrer amtlichen Unabhängigkeit im Kern selbst auch für ihre IT verantwortlich seien. Beim Datenschutz gebe es hier sogar die besondere Situation, "dass sie sich selbst kontrollieren". Es sei aber ein Krisenstab für das Kammergericht eingerichtet worden, sodass dort nun "die komplette Serverstruktur auf dem Prüfstand steht".

    "Ein Arbeitsalltag wie vor 50 Jahren"
    Der Vorfall zeigt für den Sprecher von Justizsenator Dirk Behrendt (Grüne) auch, wie wichtig es sei, für die Häuser "gemeinsame Standards für den Datenschutz und die IT-Sicherheit zu entwickeln". Am Sozialgericht sei die auch fürs Kammergericht vorgesehene Ausrüstung mit Dienst-Notebooks nebst einheitlichem Zugriff auf die Serverlandschaft bereits erfolgt, für die Zeitpläne seien aber auch hier die Justizeinrichtungen selbst zuständig.

    Sven Rissmann, rechtspolitischer Sprecher der CDU-Fraktion Berlin, warf Behrendt dagegen vor, sich für die "katastrophalen Zustände am höchsten Berliner Gericht offensichtlich nicht zu interessieren". Durch "Missachtung allgemein üblicher IT-Sicherheitsstandards" herrsche dort nun "ein Arbeitsalltag wie vor 50 Jahren". Der Senator habe es nicht nur versäumt, den Rechtsausschuss des Abgeordnetenhauses umgehend über die Vorgänge zu informieren, sondern sich auch öffentlich bisher nur unzureichend zu den Vorgängen geäußert. Aufklärung verspricht sich die Opposition nun von einer öffentlichen Sitzung des Rechtsauschusses kommenden Mittwoch.

    Quelle: Emotet: Berliner Kammergericht bleibt bis 2020 weitgehend offline | heise online
  • Neu

    Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück

    Die Hintermänner machen aus der Schadsoftware eine Malware-as-a-Service. Ein neuer modularer Aufbau erlaubt das Hinzufügen neuer Funktionen. Außerdem übernimmt Emotet Tarnfunktionen von Trickbot.

    Forscher von Netscout haben sich mit den jüngsten Varianten des Banking-Trojaners Emotet beschäftigt. Die erstmals 2014 beschriebene Schadsoftware hatte sich im Mai zurückgezogen und ist nun seit September wieder verstärkt aktiv. Grund dafür ist eine Weiterentwicklung von Emotet hin zu einer modular aufgebauten Malware, mit der sich zusätzliche Payloads an Geldinstitute, Unternehmen und Verbraucher verteilen lassen.

    Für die Umwandlung von einer Standalone-Malware zur Malware-as-a-Service soll eine Gruppe namens Mealybug verantwortlich sein. Sie ermöglicht es nun anderen Cyberkriminellen, den Code von Emotet so anzupassen, dass der Trojaner verschiedene Exploits sowie unterschiedlichste Funktionen unterstützt. Emotet ist somit nicht nur eine Banking-Malware, sondern auch für die Verteilung von weiterer Schadsoftware geeignet.

    Der Analyse von Netscout zufolge nutzt Emotet nun verschiedene Tarntechniken, die bereits von Trickbot bekannt sind. Zudem wurden die Listen mit Befehlsservern und auch die RSA-Schlüssel erneuert. Das gilt auch für die Wortliste, mit der Namen für den eigenen Prozesse als Bot erstellt werden. Unter anderem werden nun Worte wie Engine, Finish, Magny, Resapi, Query und Skip benutzt. Die Forscher werten diese Liste nun aus, um neue Signatur-Dateien zu erstellen, die Nutzer von Emotet-Infektionen schützen können.

    Darüber hinaus stellten die Forscher fest, dass fast täglich neue Binärdateien für Emotet verteilt werden. Jede neue Binärdatei enthalte rund 40 bis 80 Indikatoren für Befehlsserver. Die Befehlsserver wiederum seien weltweit verbreitet und nicht auf bestimmte Regionen konzentriert.

    „Die Veränderungen in der Art und Weise, wie die Emotet-Autoren ihre Binärdateien und andere Schadsoftware packen, ständig Teile des Codes optimierte und die Konfigurationsdateien ändern, um Signaturen zu umgehen, zeigt das aggressive Verhalten der Malware-Autoren, indem sie nicht nur eine Erkennung ihrer Binärdateien vermeiden, sondern auch die der verteilten Malware“, erklärten die Forscher. Das mache ihre Operation so effektiv und dauerhaft, trotz aller Bemühungen, die Bedrohung zu beseitigen.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon im September vor der neuen Angriffswelle gewarnt. Zu dem Zeitpunkt wurde das neue Buch von Edward Snowden als Lockmittel eingesetzt. Die Verbreitung erfolgte laut Sicherheitsforschern von Malwarebytes über Spam-E-Mails in verschiedenen Sprachen, darunter Deutsch.

    Quelle: Banking-Trojaner Emotet kehrt mit neuen Funktionen zurück | ZDNet.de
  • Neu

    Trojaner greift Netzwerk von Humboldt-Universität an

    Nachdem bereits vor E-Mails an Adressen der Humboldt Universität gewarnt wurde, sind nun erste Infektionen durch Emotet an der Universität aufgetreten.

    Der Computer-Trojaner Emotet hat nach dem Berliner Kammergericht nun auch Teile des Netzwerks der Humboldt-Universität infiziert. "Am 29. Oktober warnte der CMS (Computer- und Medienservice) vor der Malware Emotet, die zu dem Zeitpunkt an HU-Mailadressen verschickt wurde", heißt es in einer internen E-Mail der IT-Abteilung der Universität vom Freitag. Inzwischen seien die ersten Infektionen innerhalb des HU-Netzes aufgetreten. In welchem Umfang das Uni-Netz betroffen und in welchem Ausmaß es beeinträchtigt ist, wurde zunächst nicht bekannt. Zuvor hatte der Tagesspiegel berichtet.

    "König der Schadsoftware"
    Der Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, hatte den Trojaner Emotet jüngst als "König der Schadsoftware" bezeichnet.

    "Emotet verbreitet sich von infizierten Rechnern aus hauptsächlich über zwei Wege", erläuterte die IT-Abteilung der Universität. "E-Mails werden an Kontakte (aus Posteingang und Adressbuch) verschickt und zusätzlich findet eine Verbreitung über Netzwerkfreigaben statt."

    Emotet ist zunächst darauf ausgerichtet, die infizierten E-Mail-Systeme auszuspionieren. Das Programm kann dann weitere Schadsoftware nachladen – beispielsweise Banking-Trojaner, die versuchen, digitale Geldströme in die Taschen der Cyberkriminellen umzuleiten.

    Notbetrieb im Kammergericht Berlin
    Im September war auch das Kammergericht in Berlin betroffen. Selbst mehr als vier Wochen später konnte die Arbeit dort nur im Notbetrieb verrichtet werden. Nach wie vor ist das Gericht damit beschäftigt, rund 500 neue Computer zu installieren.

    Quelle: Trojaner greift Netzwerk von Humboldt-Universität an | heise online