Emotet zieht ein- und ausgehenden E-Mail Verkehr ab und ist schon seit einiger Zeit im Netz unterwegs. In diesem Jahr gab vermehrt Fälle in denen Emotet es geschafft hat sich in den verschiedensten Netzwerken zu verbreiten. Nach einer Sommerpause steigt die Zahl der Berichte über Angriffe – und das jüngste Opfer ist dabei das Berliner Kammergericht.
Angriffsziele – so geht Emotet vor!
Anfangs galten nur Unternehmen als Ziel. Die aktuellsten Fälle sind zum Beispiel die Medizinische Hochschule Hannover. Laut des Klinksprechers, gegenüber der Hannoverschen Allgemeinen Zeitung, seien 170 Rechner unter Quarantäne gestellt. Glück im Unglück – es sollen keine Patientendaten betroffen sein. Vor der Sommerpause war aber auch der bekannte Verlag Heise betroffen. Zielgruppe des Trojaners sind Behörden, Unternehmen und Privatanwender.
Emotet ist in der Lage den eigenen E-Mail-Verlauf mitzulesen und abfließen zu lassen. Im Anschluss werden diese gesichtet. E-Mails werden beantwortet – in der Regel zuerst die, die unbeantwortet im Postfach liegen geblieben sind. Damit ist der Trojaner in der Lage E-Mails an Menschen zu schreiben mit denen man selber momentan in Kontakt steht. Es werden Informationen aus E-Mails ausgelesen. Im Anschluss wird eine automatisierte Antwort generiert, die sehr glaubhaft aussieht. Zusätzlich gibt es dann einen Anhang, in dem sich die Schadsoftware befindet, die dann durch Aktivierung von Makros ausgeführt wird. Diese Aktivierung muss von Menschenhand stattfinden und variiert in der Darstellung.
Nach der Verbreitung durch E-Mails, wird Schadsoftware von anderen Cyberkriminellen heruntergeladen (zu Beginn in Deutschland Trickbot und der Verschlüsselungstrojaner Ryuk), welche dann auf Knopfdruck ausgeführt werden kann. Dadurch erscheint an allen Computern gleichzeitig die Erpressungsnachricht, was ganze Firmen lahm legt.
Schutzmaßnahmen gegen den Emotet Trojaner- das müssen Sie wissen!
Wir haben selber schon in einem früheren Blogbeitrag über Emotet berichtet. Zusammengefasst verbreitet sich Emotet durch Makros. Dementsprechend sollten Markos in Office Dokumenten grundsätzlich deaktiviert werden. Darüber hinaus sollten keine ausführbaren Anhänge (.exe, .bat, .jar, .cmd) geöffnet werden. Solche Anhänge werden Sie niemals, im geschäftlichen Alltag, von einem seriösen Kommunikationspartner erhalten.
Eine der wichtigsten Maßnahmen ist sich selber und die Mitarbeiter*innen zum Thema Social Engineering, Phishing und allgemeinen Themen der IT-Sicherheit zu schulen. Nur wenn man weiß womit man es zu tun hat, kann man sich auch ausreichend schützen. Das BSI gibt ebenfalls ausführliche Tipps wie man sich vor Emotet und anderen gefährliche E-Mails schützen kann.