Der Trojaner, der bereits vor sechs Jahren erstmals von Sicherheitsexperten entdeckt wurde, gilt als eine der gefährlichsten Bedrohungen durch Schadsoftware weltweit. Zuletzt häuften sich die Meldungen über Emotet im April vergangenen Jahres. Anschließend war es einige Monate still um die Schadsoftware geworden – jetzt ist sie zurück. In Hannover sind bereits zwei Unternehmen betroffen.
Seit wann sind wieder Emotet-Aktivitäten zu verzeichnen?
Nach der fünfmonatigen Pause, treten seit ungefähr Mitte Juli erneut Emotet-Attacken auf. Hiervon sind insbesondere Ziele in den USA sowie im Vereinigten Königreich betroffen.
Was ist die Masche des Trojaners?
Besonders gefährlich ist, dass sich Emotet im Netzwerk immer weiterverbreiten kann, sobald ein Rechner infiziert ist. Um Rechner zu infizieren, werden E-Mails verschickt, die einen Link oder ein Word-Dokument enthalten. Hierbei handelt es sich offenbar bei der aktuellen Attacke um neue URLs. In der E-Mail wird der Empfänger dazu aufgefordert, den Link oder das Dokument zu öffnen. Der Empfänger muss nun die Makros aktivieren, da darauf hingewiesen wird, dass die Dokumente nicht richtig dargestellt werden können. Diese Masche ist neu. Erlaubt der Rechner die Makros wird Emotet installiert. Ist der Rechner infiziert werden automatisch weitere Schadprogramme wie beispielsweise der Banking Trojaner Trickbot nachgeladen. Welche Schadprogramme konkret durch Emotet im Rahmen der aktuellen Welle auf den infizierten Rechnern installiert werden, ist bisher jedoch nicht bekannt.
Die Mails wirken besonders authentisch
Die gefälschten E-Mails, die das Schadprogramm enthalten, wirken äußerst authentisch. Häufig handelt es sich bei dem Absender um Kollegen, Freunde oder bekannte Versandhäuser und Paketzusteller. Die Kriminellen machen sich die Informationen, welche sie aus Kontaktbeziehungen und Mail-Inhalten ziehen, zu nutzen, um täuschend echte Mails zu versenden. Das Landeskriminalamt Niedersachsen hat typische Wörter und Sätze aufgelistet, die in den entsprechenden Mails enthalten sein können:
- In der Anlage das SEPA Formular und die neue Rechnungsanschrift
- RechnungsDetails_12_08_2020_…..doc
- Gmbh_2020_08.doc
- Alle Angaben entnehmen Sie bitte dem angehängten angeforderten Dokument.
- Eine Dokumentation befindet sich im Anhang.
- Anbei erhalten Sie Ihre angeforderten Informationen für Ihre Unterlagen.
- im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.
- Your statement is attached. Please remit payment at your earliest convenience.
- Please remit payment at your earliest convenience.
- Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.
Was sind die möglichen Folgen von Emotet?
Ein Rechner, der von Emotet befallen ist, kann anschließend für die weitere Verbreitung von Schadprogrammen sowie Spam verantwortlich sein. Darüber hinaus wird das Ausspionieren von hochsensiblen Daten ermöglicht. Es kommt auch immer wieder zu einer Verschlüsselung der vorgefundenen Daten. Der Betroffene wird anschließend um eine hohe Geldsumme erpresst, die bevorzugt in anonymen Bitcoins bezahlt werden soll. Erst nach der Bezahlung erhält der Betroffene die benötigte Entschlüsselung seiner Daten.
Wie kann man sich vor dem Trojaner schützen?
Das Landeskriminalamt Niedersachsen ruft Unternehmen dazu auf, alle Mitarbeiter auf die potenzielle Gefahr hinzuweisen und aufzuklären. Zudem sollte jede E-Mail, die empfangen wird, genau überprüft werden. Welche Punkte es hierbei zu beachten gilt, ist ebenfalls auf der Webseite des LKAs aufgelistet. Generell sollten Mail-Anhänge nie unüberlegt und ohne Überprüfung geöffnet werden. Wichtig ist es außerdem, dass die Makro-Funktion deaktiviert bleibt, damit keine Automatisierung erfolgen kann. Sobald auch nur der geringste Zweifel an einer empfangenen Mail besteht, sollten Betroffene beispielsweise eine telefonische Nachfrage bei dem Absender durchführen.
Was tun, wenn man bereits betroffen ist?
Unternehmen, welche bereits infiziert sind, sollten umgehend ihre potenziellen Kunden warnen. Es ist ebenfalls dringend zu empfehlen, eine Anzeige bei der Polizei zu erstatten und die zuständige Zentrale Ansprechstelle Cybercrime für Wirtschaftsunternehmen zu informieren. Der infizierte Rechner sollte sofort vom Netz getrennt werden. In einigen Fällen kann es notwendig sein, Systeme neu aufzusetzen und Backups einzuspielen.
Emotet wurde selbst zum Ziel von Hackern
Bisher anonyme Hacker schwächten die Infrastruktur des Trojaners, als dieser seine Aktivitäten wiederaufnahm. Die ZDNet berichtete, dass der Schadcode durch animierte GIFs ersetzt wurde. Es ist davon auszugehen, dass bereits Schritte eingeleitet wurden, um den Eindringling aus dem System zu entfernen. Zunächst waren nur wenige gekaperte WordPress-Seiten von der Manipulation betroffen. Allerdings zeigen mittlerweile rund ein Viertel der Quellen von Emotet GIFs an. Die Anzahl der Neuinfektionen mit dem Trojaner ist momentan deutlich geringer als die Anzahl der GIFs.
Hinterlasse jetzt einen Kommentar