Wie funktioniert die Schadsoftware Emotet?

Von Alter Solutions Deutschland | Aug. 7, 2019 | Blog

Emotet
Die Heise Gruppe und der Verlag Heinz Heise sind im Juni Opfer eines Angriffs der Malware Emotet geworden – der derzeit auf Grund ihrer Versatilität wohl gefährlichsten Malware. Die Kosten für zurate gezogene Sicherheitsexperten belaufen sich eigenen Angaben zufolge allein auf über 50.000€. Dazu kommen noch Kosten für in ihrer Arbeit beeinträchtigte Mitarbeiter, wodurch die eigentlichen Kosten weit über diesem Betrag liegen werden. Lesen Sie in Cyber Security Vorfälle Juli 2019, wie die Schadsoftware Emotet funktioniert und wie Sie sich schützen können.

EMOTET – Die derzeit gefährlichste Malware

Bekannt ist die Malware seit 2014, damals noch als Bankingtrojaner, welcher die Kontozugangsdaten deutscher und österreichischer Kunden abgegriffen hat. Mittlerweile – besonders in den letzten zwei Jahren – hat sich Emotetjedoch zu einer regelrechten Malware-Allzweckwaffe weiterentwickelt. Zum einen ist der Wirkungskreis nicht mehr geographisch beschränkt, sondern global, zum anderen dient Emotetin erster Linie als Einfallstor, welches dann von spezialisierter Malware genutzt wird, um weitaus größeren Schaden anzurichten.

Wie funktioniert EMOTET?

Emotet wird massenweise durch SPAM Mails verschickt. Laut dem Quartalsbericht für Q1/2019 des E-Mail Security Software Herstellers Proofpoint macht Emotet 61% der in Emails verschickten Malware aus. E-Mails sind momentan mit Abstand der am häufigsten genutzte Angriffspunkt, um auf ein System oder in ein Netzwerk zu gelangen. Bei diesen SPAM Mails handelt es sich beispielsweise um gefälschte Amazon-Versandbestätigungen oder um gefälschten Mobilfunkrechnungen von Vodafone/Telekom, welche entweder einen Link oder eine angehängte MS Office Datei (in der Regel Word oder Excel) enthalten. Öffnet der Empfänger der täuschend echt aussehenden E-Mail den Anhang, wird er durch eine Meldung dazu aufgefordert Makros in der Datei zuzulassen. Der Schadcode von Emotet befindet sich in einem der Datei angehängten Makro und kann bei aktivierten Makros den Computer sofort kompromittieren. Hat der Trojaner den Computer befallen, greift dieser sofort alle Passwörter ab und versucht sich mit diesen sowie zusätzlich brute-force Techniken Zugriff auf andere Rechner im Netzwerk zu verschaffen. Wie einem Computerwurm ist es Emotet möglich, sich auf verbundenen Computern zu replizieren. Dabei ist Emotet für Antivirenprogrammen nur äußert schwierig zu erkennen, da es sich um einen polymorphen Trojaner handelt, was bedeutet, dass sich der Code bei jeder Replikation verändert und es so unmöglich macht, bekannte Signaturen zu erkennen.

Weiterhin nimmt Emotet Kontakt zu einem Command and Control (C2) Server auf und hat nun die Möglichkeit weitere Malware auf den betroffenen Computer zu laden. Dieser Computer wird somit zu einem Botin einem Botnet, welches von diesem C2 Server gesteuert wird. Durch Analyse der derzeit auf dem befallenen Computer laufenden Prozesse ist es den Angreifern möglich das Opfer zu identifizieren, bzw. ob es sich um einen privaten Computer handelt oder ob man in ein Firmennetzwerk gelangt ist. Basierend auf diese Analyse wird nun spezielle Malware nachgeladen, bspw. Bankingtrojaner wie TrickBot oder Ransomware wie Ryuk oder LockerGoga. TrickBot nutzt übrigens die von der NSA benutzte EternalBlue Schwachstelle, welche bereits 2017 von den Shadow Brokers geleakt, aber immer noch nicht auf jedem Computer gepatcht wurde. Mehr über die Gefahren solcher von Geheimdiensten vorenthaltenen Schwachstellen lesen sie hier.

Um sich noch weiter zu verbreiten, liest Emotet ebenfalls E-Mail Passwörter sowie alle Kontakte aus dem Adressbuch aus („Outlook Harvesting“), um im Namen des Opfers E-Mails an diese zu verschicken und so glaubwürdiger zu erscheinen. Dadurch, dass die Mail von einem bekannten Absender kommt wird dieser sofort mehr vertraut und der Empfänger klickt leichtgläubiger enthaltene Links an oder öffnet den Anhang. Besonders perfide ist hierbei die neueste Entwicklung seit April, dass Emotet dafür ebenfalls auf alte E-Mail Threads antwortet, um so noch authentischere E-Mails zu erzeugen.

In der deutschen Industrie hat Emotet bisher bereits großen Schaden angerichtet. Das BSI berichtet diesbezüglich von Fällen mit Ausfall der kompletten IT-Infrastruktur, welche Schäden in Millionenhöhe verursacht haben. Nicht alle Firmen reagieren so schnell wie die Heise Gruppe und trennen das interne Netzwerk vom Internet, bevor Emotet weitere Schadsoftware nachladen kann. Gelangt erstmal Ransomware in das Firmennetzwerk, ist der Schaden verheerend (wie wir am Beispiel NorskHydro gezeigt haben).

Gerade auch in der Gesundheitsindustrie sind Trojaner weit verbreitet. 70% aller von Malware betroffenen Systeme in diesem Sektor wurden von einem Trojaner befallen, bei 37% davon handelt es sich um Emotet.

Daher empfehlen wir ebenso wie das BSI:

  • Sensibilisierung der Mitarbeiter: Nicht ohne Weiteres Links in E-Mails anklicken oder Anhänge mit Makros öffnen, selbst wenn Ihnen der Absender bekannt ist und es sich um eine Antwort auf eine vorherige E-Mail handelt. Sollten Makros in Ihrem Unternehmen nicht benötigt werden, können diese unternehmensweit deaktiviert werden.
  • Immer aktuellste Sicherheitsupdates installieren, da nachgeladene Malware häufig bekannte Schwachstellen ausnutzt (siehe EternalBlue).
  • Regelmäßige Datensicherung durch Backups.
  • Sichere Passwörter sowie 2-Faktor-Authentisierung (sofern verfügbar) verwenden.