Auch wenn Emotet ein für Schadsoftware nahezu biblisches Alter erreicht hat, versetzt der Trojaner insbesondere Unternehmen und Behörden immer noch in Angst und Schrecken. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt immer noch eindrücklich vor der Malware und rechnet mit Schäden in Millionenhöhe. Erstmals wurde die Malware im Jahr 2014 als Bankingtrojaner entdeckt. Seitdem hat er sich zur Allzweckwaffe für das Cybercrime entwickelt. Das verantwortliche Hacker-Kollektiv hat Emotet immer weiterentwickelt, so dass die aktuelle Version sehr ausgereift ist. Hinzu kommt: Mit Packern maskieren die Kriminellen immer schneller die Malware und bringen neue Versionen in Umlauf. So zählten die Sicherheitsexperten von G DATA im ersten Halbjahr 2019 bereits mehr als 33.000 Versionen von Emotet. Ein deutlicher Anstieg gegenüber dem Vorjahr.
Schritt 1: Geräuschlos im Hintergrund
„Emotet nimmt eigentlich nur die Funktion des Türöffners ein, der dann weiteren Schadcode auf dem Rechner installiert“, erläutert Anton Wendel, Security Engineer bei G DATA Advanced Analytics. „Allerdings sehen die initialen Spam-Mails sehr authentisch aus, sodass viele Nutzer diese für echt halten und den infizierten Anhang öffnen.“
Es geschieht mit einem Klick auf einen Mail-Anhang. Auslöser ist meist die Aktivierung von Makros in Office-Dokumenten. Was dann folgt, passiert meist geräuschlos im Hintergrund – und völlig unbemerkt. Emotet liest als Information-Stealer sämtliche Kennwörter, E-Mails und E-Mail-Adressen aus. Er taucht tief hinein in die Kontakthistorie und nutzt etwa Inhalte aus E-Mails für nachfolgende Spam-Mails, um weitere Geräte zu infizieren. Die fingierten Mails beziehen sich also auf echte Geschäftsvorfälle, was die Verbreitung der Malware fördert. Neben diesem Spam-Modul besitzt Emotet ein Wurm-Modul, mit dem er sich selbstständig im Netzwerk verbreitet. So kann er sich etwa in einem Firmennetzwerk auf weiteren Rechnern einnisten, ohne dass weitere Nutzer einen Anhang anklicken und aktivieren müssen. Hierfür unternimmt Emotet einen Brute-Force-Angriff mit bekannten Standard-Passwörtern wie etwa „12345“, „Passwort“ oder ähnliches. Besonders wirkungsvoll ist die Attacke, wenn die Malware dabei ein Admin-Profil mit weitreichenden Zugriffsrechten innerhalb des Firmennetzwerks infiziert.
Schritt 2: Informationen sammeln
Emotets Gefährlichkeit hängt auch damit zusammen, dass er zusätzlich Malware nachlädt, wenn ein Rechner infiziert ist. Diese unterscheidet sich von Region zu Region. In Deutschland folgt zurzeit TrickBot, ein deutlich aggressiverer Banking-Trojaner, auf die initiale Emotet-Infektion. Seine Spezialität: Zahlungsinformationen auslesen, sodass die Cybergangster bestens über die Zahlungsfähigkeit des Unternehmens informiert sind. Ein Wissen, dass sie beim finalen Ransomware-Angriff nutzen. Denn neuerdings orientiert sich die Lösungsgeldforderung bei Emotet-Angriffen am Umsatz. Typische Forderungen gehen nach Information des BSI weit über die üblichen Forderungen von mehreren hundert bis tausend Euro hinaus - 30.000 bis 100.000 Euro sind keine Seltenheit mehr.
Schritt 3: Verschlüsseln und erpressen
Mit dem Wissen um die Zahlungsfähigkeit des Unternehmens und der weitreichenden Kontrolle über die IT-Infrastruktur, folgt nun der finale Schritt des Angriffs. Mittels Trickbot erlangen die Angreifer Zugriff auf das Firmennetz und spielen dann händisch die Ransomware aus – zurzeit insbesondere die Verschlüsselungssoftware namens Ryuk. Was dann passiert, ist der GAU für alle Unternehmen: Ryuk verschlüsselt ganz gezielt unternehmenskritische Daten. Bestehende Sicherungskopien im System werden kurzerhand gelöscht.
„Während Emotets und Trickbots schädliches Handeln teilweise über Monate hinweg unentdeckt bleibt, offenbart sich Ryuk recht schnell“, sagt Wendel. „Wenn die Lösegeldforderung aufploppt, ist es zu spät.“
Daten retten ohne Lösegeld zu zahlen
Unternehmen stehen jetzt unter hohem Druck und vor der zentralen Frage: „Lösegeld zahlen oder nicht?“. Denn ohne funktionierende IT sind nur noch die wenigsten Firmen arbeitsfähig. Jede Minute kostet also bares Geld. Schnell ist auch die Existenz bedroht, wenn ein Betrieb über mehrere Tage nicht arbeitsfähig ist. Lösegeld zu zahlen, ist keine Garantie, die eigenen Daten zurückzubekommen. Wer Backups auf externen Speichern außerhalb des Netzwerkes angelegt hat, ist den Verbrechern einen kleinen Schritt voraus. Er kann diese Daten nutzen und damit arbeiten. Der Erpressungsversuch läuft ins Leere.
„Reinigungsversuche bleiben häufig erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben“, warnt Wendel. „Die Zusammenarbeit mit Experten zur Datenrettung ist absolut empfehlenswert.“
Spezialisten wie die Analysten von G DATA Advanced Analytics leisten weit mehr als Daten wiederherzustellen. Denn einmal infizierte Systeme sind grundsätzlich als vollständig kompromittiert zu betrachten. Sie müssen komplett neu aufgesetzt werden, um eine Neu-Infektion auszuschließen. Gleichzeitig prüfen die Experten auch, über welche Schwachstelle die Schadsoftware in das System eindringen konnte und schließen diese. Auch verfügen sie über die notwendige Expertise, um Ransomware zu identifizieren und Systeme wiederherzustellen – ganz ohne Lösegeldzahlung.
Zurzeit ist das Hacker-Kollektiv um Emotet recht ruhig. Die Zahl der täglich neu entdeckten Trojaner-Versionen ist seit Anfang Juni deutlich zurückgegangen. „Auch wenn die bekannten Emotet-Botnets gerade ruhig sind, ist die Gefahr noch nicht gebannt“, warnt Anton Wendel. „Wahrscheinlich nimmt das Kollektiv gerade Wartungsarbeiten am Netz vor oder verbessert den Malware-Kern. Es könnte also durchaus die sprichwörtliche Ruhe vor dem Sturm sein.“
6 Tipps zur IT-Sicherheit für Unternehmen
- Legen Sie regelmäßig Backups an: Sichern Sie die Daten aller Clients regelmäßig auf Netzlaufwerken, externen Festplatten oder in der Cloud. Achtung: Stellen Sie sicher, dass die Verbindung zu dem Speichermedium oder Netzlaufwerk nach jedem Backup getrennt wird – es droht sonst eine Verschlüsselung aller Backups!
- Installieren Sie Updates und Patches: Halten Sie Software wie das Betriebssystem, den Browser und Plug-ins stets auf dem aktuellen Stand. Sicherheitslücken in Programmen auszunutzen, ist eine der beliebtesten Methoden von Cyberkriminellen. Ein zentrales Patch-Management hilft Ihnen, die Software auf all Ihren Clients aktuell zu halten und Schadsoftware so möglichst wenig Angriffsfläche zu bieten.
- Verwenden Sie eine aktuelle Sicherheitslösung: Virenscanner und Verhaltensüberwachung erkennen bekannte Ransomware, bevor diese Schaden anrichtet. Oft lassen sich Schadprogramme auch an universellen Codeabfolgen erkennen, die typisch für Kompression, Verschlüsselung, Download-Routinen, Backdoor-Aktivitäten, Tarnmechanismen oder dergleichen sind. Heuristische und generische Signaturen erkennen solche allgemeingültigen Befehlssequenzen auch bei bislang unbekannten Malware-Familien.
- Makros deaktivieren: Besondere Vorsicht ist bei Office-Dokumenten geboten, die mit Makros versehen sind. Am besten verhindern Sie die automatische Ausführung von Makros in den Office-Suiten aller Clients. Als Alternative können Sie Ausnahmen für signierte Makros einrichten. Sensibilisieren Sie Ihre Mitarbeiter in Seminaren dafür, vorsichtig zu sein und woran sie potentiell gefährliche Dateien und Vorgänge erkennen können.
- Passwort-Manager: Nutzen Sie für jeden Service ein anderes Passwort. Es sollte lang genug sein, aus mehr als einem Wort bestehen und komplex sein. Passwort-Manager helfen Ihnen, die Übersicht zu behalten. Der Vorteil: Sie müssen sich nur dieses eine sichere Master-Passwort merken.
- IT-Dienstleister prüfen: Auch IT-Dienstleister nutzen schlechte Passwörter! Ein kritischer Blick auf die Arbeitsweise der beauftragten IT-Dienstleister kann böse Überraschungen vermeiden. Fragen Sie nach sicherheitsrelevanten Zertifikaten oder lassen Sie sich die Richtlinien für die IT-Sicherheit zeigen.