Responsive image

on air: 

Mario Lüke
---
---
Laptop-tippen
Netzklick

Sechs Buchstaben, die es in sich haben: Trojaner EMOTET kommt per Mail

Frau tippt auf Laptop

Das Kammergericht Berlin ist seit über drei Wochen nur noch per Fax, Telefon oder per Post erreichbar. Im niedersächsischen Neustadt am Rübenberge ging online über eine Woche fast nichts mehr, weil alle Amts-PCs lahm gelegt waren. Die medizinische Hochschule in Hannover musste 170 PCs vom Netz nehmen, weil auch sie infiziert waren.

Die Ursache für alle diese Vorfälle heißt: Emotet. Das ist ein Trojaner mit - wie Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) erst letzte Woche sagte – „erheblicher Durchschlagwirkung“. Schönbohm hält Emotet für den „König der Schadsoftware“. Nach viermonatiger Sommerpause ist er laut der Forscher der Sicherheitsfirma „Cisco Talos“ seit wenigen Wochen wieder verstärkt aktiv. Doch was ist Emotet überhaupt, wie verbreitet er sich und haben wir eine Chance, uns vor Emotet zu schützen?

Ein Trojaner mit Geschichte

2010 wird Emotet erstmals als Banking-Trojaner identifiziert. Per Spam versucht er Systeme zu infizieren. Anschließend platziert er Module in den betroffenen Systemen, um damit Informationen wie z.B. die Zugangsdaten zu Konten oder E-Mail-Adressen aus Kontaktlisten auszuspähen. In den weiteren Jahren wurde Emotet immer weiter entwickelt. Er konnte so sowohl immer andere Schad-Software verbreiten, als auch „sein Aussehen“ verändern. Zwischen 2013 und 2015 „verbarg“ sich der Trojaner häufig hinter gefälschten Rechnungen. Seit Ende 2018 verbreitet sich der Emotet meist in schädlichen Office-Dokumenten.

Eine infizierte Mail reicht

In der aktuellen Angriffswelle wird Emotet wohl über Antwort-E-Mails verteilt. Das Perfide: Die infizierte Mail kann durchaus einen uns bekannten Absendernamen besitzen, nur passt die E-Mail-Adresse nicht. Angehängt ist ein Dokument, das wir öffnen sollen. Anschließend bekommen wir weitere Instruktionen. Wer diesen folgt, zieht sich recht zügig den Schadcode. Damit späht Emotet unsere Adressen aus und versendet sich anschließend selbst an unsere Freunde und Bekannte.

Aktuell locken die Täter mit der Biografie des Whistleblowers Edward Snowden. Im Anhang dieser Mails soll sich das Buch befinden. Tatsächlich findet sich im Anhang natürlich nicht die Biografie, sondern wir werden aufgefordert, Makros zu aktivieren. Wer diesen Aufforderungen folgt, bekommt statt Buch den Virus. Beispiel-Screenshots dieser Phishing-Mails hat die Sicherheitsfirma Malwarebytes hier veröffentlicht.

Wer steht im Fokus von Emotet?

Der Trojaner zielt sowohl auf Einzelpersonen als auch auf Unternehmen und Behörden. Dabei fungiert Emotet wie ein Türöffner, über den weitere Schadsoftware auf unsere PCs gelotst werden kann. Denn das ist das Geschäftsmodell: Die Emotet-Macher verkaufen die infizierten Systeme an Cybergangs weiter, die dann ihre spezielle Schadsoftware verbreiten. In Deutschland war das in der Vergangenheit meist die Verschlüsselungssoftware Ryuk. Sie legt die infizierten PCs lahm. In der Folge werden wir aufgefordert, ein Lösegeld zu zahlen, damit unsere Rechner wieder funktionsfähig werden.

Experten warnen allerdings davor, auf diese Erpressung einzugehen. Denn damit ist noch lange nicht garantiert, das unser PC nachher wieder funktioniert. Vielmehr sollte das betroffene Gerät im ersten Schritt von einem möglichen Netzwerk getrennt werden. Im zweiten Schritt sollte der Vorfall dem BSI gemeldet werden (möglich hier über das Online-Formular). Zudem wird empfohlen, den Vorgang anzuzeigen, dabei hilft die Zentrale Ansprechstelle Cybercrime.

Wie können wir uns schützen?

Zum ersten Schutz vor Emotet helfen schon häufig die meist bekannten Maßnahmen-Klassiker:

  • Immer die neusten Updates für Software und Hardware laden: Sie schließen z.B. aktuell entdeckte Sicherheitslücken – ein beliebtes Einfallstor für Cyberkriminelle.
  • Regelmäßige Backups machen: Sie können im Fall der Fälle den Schaden begrenzen, weil wichtige Daten nicht verloren gehen. Zudem sollten wir nach jedem Backup wieder die Verbindung zum Speichermedium trennen.
  • Wer noch keine Zwei-Faktor-Authentifizierung zur Anmeldung an Systemen nutzt, sollte diese jetzt einrichten.
  • Und natürlich sollten wir bei Mailanhängen immer mit einem aufmerksamen Blick auf Adresse und Vertrauenswürdigkeit der Quelle achten. E-Mails mit ausführbaren Dateien sollten wir blockieren.

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Liste der gefährlichen Datei-Endungen sowie weitere Empfehlungen veröffentlicht, die gerade Firmen für ihre Netzwerke und ihre Mitarbeiter beherzigen sollten. Und wer wissen will, ob er schon mal gehackt wurde, der sollte auf der Seite haveibeenpwned.com vorbeiklicken.


Der wöchentliche Blick ins Web

Eine Person die eine Computertastertur mit Maus bedient

Das Internet schläft nicht - ständig gibt es neue Trends, neue Plattformen, neue Apps und täglich Veränderungen. Mit uns behaltet ihr den Überblick - denn wir präsentieren Ihnen hier jede Woche was es Neues gibt in der digitalen Welt.