Gefälschte E-Mails im Namen von Freunden, Geschäftspartnern oder Kollegen gefährden im Moment ganze Netzwerke.
Emotet gilt als eine der größten Bedrohungen durch Schadsoftware weltweit und verursacht aktuell in Deutschland sehr hohe Schäden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen erhalten, die im Zusammenhang mit Emotet stehen.
So haben unter anderem Kriminelle das Netzwerk der Heise-Gruppe (u.a. Herausgeber der Computerzeitschrift c’t) angegriffen und mit diesem Schadprogramm enormen Schaden angerichtet.
So schreibt u.a. die Heise-Gruppe auf Ihrer Homepage:
„Am Montag, den 13. Mai, um kurz vor 15 Uhr öffnete ein Mitarbeiter eine Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und das Unheil nahm seinen Lauf.“
Im Hintergrund infizierte Emotet bereits sein Windows-System und begann sofort, sein Unwesen im Heise-Netz zu treiben. Dies äußerte sich zunächst in einigen kleineren Infektionen, die auch Alarme der eingesetzten Antiviren-Software (Avira und Windows Defender) auslösten. Die hinzugezogenen Administratoren reinigten diese Systeme oberflächlich und waren zunächst der Überzeugung, das Problem damit im Griff zu haben.
Das änderte sich Mittwochnachmittag, als in den Firewall-Logs reihenweise Verbindungen zu bekannten Emotet-Servern auffielen. Ein schneller Check zeigte, dass bereits eine ganze Reihe von Rechnern über seltsame Verbindungen etwa auf TCP-Port 449 nach draußen kommunizierte. Das bedeutete: „ROTER ALARM!““
Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms.
In der Regel funktioniert dieses Programm so:
- Empfänger erhalten E-Mails mit authentisch, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen.
- Alle Angaben von Namen, Mailadressen, Betreff, Anrede und Signatur und letzte Inhalte wirken echt.
- Die E-Mail fordert zum unbedachten Öffnen des schädlichen Dateianhangs oder einer in der Nachricht enthaltenen UR auf.
Ist der Computer erst infiziert, lädt Emotet weitere Schadensoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabflüssen oder ermöglichen den Tätern den Zugriff bzw. die Kontrolle zu Ihrem System.
In mehreren Fällen, die u.a. dem BSI bekannt sind, führte dieser Virus zu großen Produktions- und Geschäftsausfällen, da ganze Unternehmensnetzwerke neu aufgebaut werden mussten.
Wie Sie sich schützen können:
- Installieren Sie zeitnah bereitgestellte Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (z.B. Web-Browser, E-Mail-Clients, Office-Anwendungen usw.)
- Setzen Sie Antiviren-Software ein und aktualisieren Sie diese immer wieder
- Sichern Sie regelmäßig Ihre Daten (Backups)
- Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere von Office-Dokumenten) und prüfen Sie die in den Nachrichten enthaltenen Links, bevor Sie diese anklicken.
- Haben Sie ein ungutes Gefühl, kontaktieren Sie den Absender und erkundigen Sie sich, ob die Datei wirklich von ihm stammt
Was können Sie bei einem Befall tun:
- informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mailkontakte sind besonders gefährdet
- ändern Sie alle gespeicherten Zugangsdaten
- bei einem Befall müsse Sie einen spezialisierten IT-Experten zu Rate ziehen
Die K&S Cyberpolice bietet Versicherungsschutz und eine große Bandbreite von Dienstleistungen bei einem solchen Befall. Wir beraten Sie gerne für einen umfassenden Schutz Ihrer gesamten IT-Infrastruktur.
P.S.: Für alle Interessierten, hier der Ausschnitt, welche Maßnahmen durch die Heise-Gruppe durchgeführt werden mussten:
„Aufräumarbeiten
Die infizierten Rechner wurden alle komplett außer Betrieb genommen. Auch die scheinbar sauberen Windows-10-Rechner kamen nicht mehr mit anderen Netzen oder gar dem Internet in Verbindung. Und das wird auch so bleiben. Weil es sich als aussichtslos erwiesen hat, alle Emotet-Aktivitäten lückenlos zu dokumentieren und man kein Risiko einer erneuten Infektion, etwa durch eine übersehene Backdoor eingehen will, werden die betroffenen Komponenten alle stillgelegt beziehungsweise neu aufgesetzt.
Die Admins haben sich entschieden, ein komplett neues Netz mit neu aufgesetzten Rechnern und einem neuen Active Directory hochzuziehen. Dabei werden auch gleich neue, verschärfte Sicherheitsmaßnahmen umgesetzt, die eine vergleichbare Eskalation zukünftig unterbinden oder doch deutlich erschweren sollen. Existierende Daten, Werkzeuge und Ähnliches werden unter größter Vorsicht Schritt für Schritt in dieses neue Netz übertragen. Zwar ist mittlerweile die Arbeitsfähigkeit weitgehend wiederhergestellt, doch es wird sicher noch einige Wochen dauern, bis dieser Umzug vollständig abgeschlossen ist.
Welche Daten die Kriminellen bereits abziehen konnten, ist noch nicht ausreichend geklärt. Die Verantwortlichen haben den Vorfall jedenfalls bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet, wie es die DSGVO fordert. Darüber hinaus wurde der Vorfall bei der Polizei zur Anzeige gebracht. Auch Geschäftspartner wurden über das gesteigerte Risiko von Trojaner-Mails informiert.
Dieser Vorfall ist noch lange nicht abschließend geklärt. Doch wir werden ihn auch weiterhin so transparent wie möglich handhaben und sicher weitere Artikel dazu veröffentlichen. Ganz oben auf der Liste steht dabei „Wie schützt man sich besser vor Emotet“.
Das Wichtigste dazu bereits kurz vorab: Gehen Sie davon aus, dass es auch Ihre Firma treffen wird. Bereiten Sie sich am besten jetzt darauf vor.“