Datenschutz Special: Schadsoftware Emotet

cmi compliance datensicherheit

„Die gefährlichste Schadsoftware der Welt“.

So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jüngst die derzeit hochaktive Schadsoftware „Emotet“ bezeichnet.

Diese Schadsoftware hat im vergangenen 3/4 Jahr mehrere Einrichtungen und Firmen in der Region Hannover getroffen und hat dort großen Schaden angerichtet. Prominente Betroffene waren u.a. die Stadtverwaltungen Burgdorf und Neustadt am Rübenberge, die MHH sowie der heise Verlag.

Bei Emotet handelt es sich ursprünglich um einen sog. „Banking-Trojaner“, der vor allem durch Spam-Mails verbreitet wird. Dabei ist es Ziel des Schädlings, in die E-Mailkonten einzudringen und dort private Daten auszuspähen (Mailhacking).

Warum ist Emotet so gefährlich?

Emotet ist ein „Meister der Tarnung“
Bei dem Trojaner Emotet handelt es sich um einen sog. „polymorphen“ Virus, d.h. der Schadcode wird bei jedem Aufruf leicht verändert. Dementsprechend können signaturbasierte Virenscanner diese Schadsoftware NICHT erkennen.

Auch eine Schutzmaßnahme in Form einer virtuellen Umgebung (Sandbox) schützt nicht. In diesem Fall erkennt der Trojaner, dass er sich in einer geschützten Umgebung befindet und verbleibt zunächst inaktiv.

Des Weiteren ist Emotet äußerst geschickt in seiner Verbreitung. Aber dazu später mehr…

Emotet lädt hochgefährliche Software nach
Ein finanzieller Schaden für das betroffene Unternehmen ergibt sich noch nicht direkt bei der Infektion mit Emotet. Eine meldepflichtige Datenschutzpanne aufgrund des Ausspähens von Mailkontakten entsteht dabei sofort.

Der finanzielle Schaden ergibt sich bei Emotet erst aus den anschließenden Folgeinfektionen. Ist ein System mit Emotet infiziert, wird in einem zweiten Schritt die Schadsoftware „Trickbot“ nachgeladen, welche ein manuelles Ausspähen der infizierten Rechner ermöglicht. Zugleich wird hierbei der Rechner durch die Hacker übernommen, unter Kontrolle eines C&C-Servers gestellt (Command and Control) und ist somit Bestandteil eines Botnetzes. Diese Botnetze werden wiederum für Hacking-Attacken auf Großziele eingesetzt.

Mit Trickbot ist – wie dargestellt – ein manuelles Ausspähen der übernommenen Systeme möglich. Wird dabei ein lohnenswertes Ziel ausgemacht, wird in einem dritten Schritt ein Verschlüsselungstrojaner (derzeit häufig Ryuk) nachgeladen, der wiederum sämtliche Daten einschl. Backups verschlüsselt und damit für das Unternehmen unbrauchbar macht.

Das heißt im Klartext: der Betrieb steht still!

Nach erfolgter Verschlüsselung der Daten wird dem Unternehmen angeboten, gegen Zahlung eines Lösegeldes in Kryptowährung die Daten wieder lesbar zu machen.

Wie verbreitet sich Emotet?

In punkto Verbreitung ist Emotet sehr effizient geworden. Der ursprüngliche Verbreitungsweg via E-Mail ist zwar immer noch erhalten, die infizierten Mails mittlerweile jedoch täuschend echt.

In seiner aktuellen Variante ergreift der Virus Besitz von der Kontaktliste im Mailprogramm und versendet sich selbst an alle Ansprechpartner im Adressbuch. Dabei werden im Posteingang des gehackten Accounts befindliche Mails durch den Virus gescannt und infizierte Antwortmails an die ursprünglichen Absender geschickt.

Da als Absender der E-Mail jeweils der richtige Name und der vorhergehende Schriftwechsel angezeigt wird, sehen die infizierten Mails nicht wie Spam, sondern wie reguläre E-Mails aus. Die Empfänger derartiger Mails schöpfen als kaum Verdacht.

Der Virus selbst steckt in den Mailanhängen, die häufig aus Word- oder Excel-Dateien bestehen. In diesen Dateien ist der Virus als Makro enthalten. Bei Öffnen des Anhangs und Aktivieren der Makros in Word oder Excel wird der Trojaner aktiv. Aktuelle Beispiele finden Sie auf der Seite der Zentralen Ansprechstelle Cybercrime des LKA Niedersachsen.

Wie kann man sich schützen?

Die nachstehenden technischen Regelungen sollten zwingend vorhanden sein:

  1. Immer mit aktuellem Virenscanner unterwegs sein.
  2. Jeweils neue Patches für Microsoft Windows installieren. Veraltete Systeme werden im Falle eines Falles ziemlich teuer.
  3. Erstellen eines vollständigen, vom Netz getrennten Backups

Wirklich effektiver Schutz passiert aber VOR dem Rechner! Sprich bei dem Anwender, der an seinem Computer sitzt. Hierbei sollten folgende Regeln beachtet werden:

  1. Keine dubiosen Inhalte herunterladen, niemals auf Links in E-Mails klicken!
  2. Keine Makros in Word- oder Excel-Dateien aktivieren!!!!
  3. Bei Word- oder Excel-Anhängen in E-Mails kurz den Absender anrufen, ob er diese tatsächlich geschickt hat.
  4. Starke und individuelle Passwörter verwenden! Bitte niemals ein einfaches 08/15-Passwort für alle Systeme.
  5. Und wenn es doch passiert ist?

Bei Verdacht auf eine Emotet-Infektion sollten einige grundlegende Schritte beachtet werden:

  1. betroffene Rechner aus dem Netzwerk isolieren
  2. Risikoanalyse zur potentiellen Meldung an die Datenschutzaufsichtsbehörde durchführen
  3. infizierten Rechner patchen und bereinigen
  4. alle im Netzwerk befindlichen Rechner reinigen

Teilen: