Meldung

Emotet wird wieder aktiv

Es gibt kaum eine andere Schadsoftware, die derartig raffiniert ihr Unwesen treibt wie Emotet. Nachdem 2021 die Zerschlagung der Infrastruktur von Emotet durch Behörden gelang, war es lange Zeit ruhig um die Schadsoftware. Doch die Aktivitäten mit dem Schädling haben wieder zugenommen, warnen die IT-Sicherheitsexperten der PSW GROUP.
Unternehmen sollten sich auf die Rückkehr von Emotet vorbereiten.
In der Vergangenheit wurde das Schadprogramm Trickbot nachgeladen, wenn es Emotet einmal aufs System geschafft hatte. Nun ist es genau andersherum und Trickbot verbreitet neue Emotet-Varianten. Rund 140.000 Trickbot-Emotet-Opfer in 149 Ländern soll es in den vergangenen zehn Monaten, die seit der vermeintlichen Zerschlagung der Emotet-Infrastruktur vergangen sind, bereits geben. Zu dieser Einschätzung kommen Security-Forscher von Check Point Research.

"Was wir bisher wissen, ist, dass neue Emotet-Varianten ausgerechnet durch die Schadsoftware Trickbot verbreitet werden. Dieses Warnsignal müssen wir sehr ernst nehmen und von einer deutlichen Zunahme an Ransomware-Attacken noch in diesem Jahr ausgehen. Denn Emotet ist eine der heimtückischsten Schadprogramme, die wir kennen. Einmal auf dem Rechner gelandet, lädt Emotet weitere Trojaner nach, die sich ihrerseits im Netzwerk einnisten und Backdoors installieren", sagt Partrycja Schrenk, Geschäftsführerin der PSW GROUP [1].

Analysen von Zscaler zeigen außerdem, dass es bei der aktuellen Emotet-Version offenbar Änderungen bei der genutzten Verschlüsselung und den Command & Control-(C&C)-Daten gibt. Für die C&C-Kommunikation scheint die Schadsoftware HTTPS anstelle von HTTP zu nutzen, sodass Emotet einer frühen Erkennung entgehen kann. Black Lotus Labs fand zudem heraus, dass es den Cyberkriminellen hinter Emotet möglich ist, über die Liste laufender Prozesse auf kompromittierten Systemen zusätzliche Systeminformationen zu sammeln. Die Botnet-Infrastruktur umfasst den Erkenntnissen dieser Sicherheitsforschenden zufolge knapp 200 C&C-Server – die meisten Domänen befinden sich in den USA, in Deutschland, Frankreich, Kanada, Großbritannien sowie Ländern Südostasiens.

Besser vorbereiten
Angesichts dieser Entwicklung sollten sich Unternehmen dringend vorbereiten. Dazu gehört zum Einen, ein Wissen über Cyberbedrohungen wie Emotet zu schaffen – durch Sensibilisierung der Beschäftigten in Awareness-Schulungen. Zum anderen sind technische Maßnahmen zu ergreifen. Dazu gehört es, Sicherheitsupdates zeitnah einzuspielen, um etwaige Sicherheitslücken zu schließen, eine Antiviren-Software zu nutzen und auch diese regelmäßig zu patchen, sowie Backups zu erstellen.

"Sollte Ransomware Daten verschlüsseln, ist eine vorherige Datensicherung in regelmäßigen Intervallen Gold wert. Wichtig ist allerdings, die Backups getrennt von der sonstigen IT-Infrastruktur aufzubewahren. Nach dem Reinigen der Systeme können diese Daten dann einfach wieder in das System eingespielt werden", so Schrenk. Hilfreich sei auch ein Monitoring der IT-Infrastruktur durch Künstliche Intelligenz, beispielsweise mit XDR-Lösungen. Sie setzen nicht nur an Endpunkten an, sondern behalten die komplette IT-Infrastruktur im Blick und schlagen bei Veränderungen Alarm.

"Ich rate außerdem zur Netzwerk-Segmentierung, bei der Client-, Server-, Domain-Controller-Netze sowie die Produktionsnetze voneinander getrennt und jeweils isoliert administriert werden", gibt Schrenk einen Tipp und fährt fort: "Zudem verhindert ein ausführliches und feingranular ausgearbeitetes Berechtigungskonzept unbefugte Zugriffe auf die Infrastruktur sehr effizient. Anfangs mag das nach viel Arbeit aussehen, die sich jedoch im späteren Verlauf lohnt, da Anpassungen bei Bedarf schnell realisiert sind." Auch externe Zugriffe auf das Unternehmensnetzwerk sollten dabei durch ein VPN abgesichert werden. So empfiehlt die IT-Sicherheitsexpertin, diese Zugänge zuätzlich durch Multi-Faktor-Authentifizierung abzusichern: "Sogar wenn Kriminelle an Zugangsdaten gelangen, fehlt ihnen ein weiterer Faktor, der zum Login notwendig ist."
11.05.2022/dr

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen