Meldung

Emotet wird wieder aktiv

Es gibt kaum eine andere Schadsoftware, die derartig raffiniert ihr Unwesen treibt wie Emotet. Nachdem 2021 die Zerschlagung der Infrastruktur von Emotet durch Behörden gelang, war es lange Zeit ruhig um die Schadsoftware. Doch die Aktivitäten mit dem Schädling haben wieder zugenommen, warnen die IT-Sicherheitsexperten der PSW GROUP.
Unternehmen sollten sich auf die Rückkehr von Emotet vorbereiten.
In der Vergangenheit wurde das Schadprogramm Trickbot nachgeladen, wenn es Emotet einmal aufs System geschafft hatte. Nun ist es genau andersherum und Trickbot verbreitet neue Emotet-Varianten. Rund 140.000 Trickbot-Emotet-Opfer in 149 Ländern soll es in den vergangenen zehn Monaten, die seit der vermeintlichen Zerschlagung der Emotet-Infrastruktur vergangen sind, bereits geben. Zu dieser Einschätzung kommen Security-Forscher von Check Point Research.

"Was wir bisher wissen, ist, dass neue Emotet-Varianten ausgerechnet durch die Schadsoftware Trickbot verbreitet werden. Dieses Warnsignal müssen wir sehr ernst nehmen und von einer deutlichen Zunahme an Ransomware-Attacken noch in diesem Jahr ausgehen. Denn Emotet ist eine der heimtückischsten Schadprogramme, die wir kennen. Einmal auf dem Rechner gelandet, lädt Emotet weitere Trojaner nach, die sich ihrerseits im Netzwerk einnisten und Backdoors installieren", sagt Partrycja Schrenk, Geschäftsführerin der PSW GROUP [1].

Analysen von Zscaler zeigen außerdem, dass es bei der aktuellen Emotet-Version offenbar Änderungen bei der genutzten Verschlüsselung und den Command & Control-(C&C)-Daten gibt. Für die C&C-Kommunikation scheint die Schadsoftware HTTPS anstelle von HTTP zu nutzen, sodass Emotet einer frühen Erkennung entgehen kann. Black Lotus Labs fand zudem heraus, dass es den Cyberkriminellen hinter Emotet möglich ist, über die Liste laufender Prozesse auf kompromittierten Systemen zusätzliche Systeminformationen zu sammeln. Die Botnet-Infrastruktur umfasst den Erkenntnissen dieser Sicherheitsforschenden zufolge knapp 200 C&C-Server – die meisten Domänen befinden sich in den USA, in Deutschland, Frankreich, Kanada, Großbritannien sowie Ländern Südostasiens.

Besser vorbereiten
Angesichts dieser Entwicklung sollten sich Unternehmen dringend vorbereiten. Dazu gehört zum Einen, ein Wissen über Cyberbedrohungen wie Emotet zu schaffen – durch Sensibilisierung der Beschäftigten in Awareness-Schulungen. Zum anderen sind technische Maßnahmen zu ergreifen. Dazu gehört es, Sicherheitsupdates zeitnah einzuspielen, um etwaige Sicherheitslücken zu schließen, eine Antiviren-Software zu nutzen und auch diese regelmäßig zu patchen, sowie Backups zu erstellen.

"Sollte Ransomware Daten verschlüsseln, ist eine vorherige Datensicherung in regelmäßigen Intervallen Gold wert. Wichtig ist allerdings, die Backups getrennt von der sonstigen IT-Infrastruktur aufzubewahren. Nach dem Reinigen der Systeme können diese Daten dann einfach wieder in das System eingespielt werden", so Schrenk. Hilfreich sei auch ein Monitoring der IT-Infrastruktur durch Künstliche Intelligenz, beispielsweise mit XDR-Lösungen. Sie setzen nicht nur an Endpunkten an, sondern behalten die komplette IT-Infrastruktur im Blick und schlagen bei Veränderungen Alarm.

"Ich rate außerdem zur Netzwerk-Segmentierung, bei der Client-, Server-, Domain-Controller-Netze sowie die Produktionsnetze voneinander getrennt und jeweils isoliert administriert werden", gibt Schrenk einen Tipp und fährt fort: "Zudem verhindert ein ausführliches und feingranular ausgearbeitetes Berechtigungskonzept unbefugte Zugriffe auf die Infrastruktur sehr effizient. Anfangs mag das nach viel Arbeit aussehen, die sich jedoch im späteren Verlauf lohnt, da Anpassungen bei Bedarf schnell realisiert sind." Auch externe Zugriffe auf das Unternehmensnetzwerk sollten dabei durch ein VPN abgesichert werden. So empfiehlt die IT-Sicherheitsexpertin, diese Zugänge zuätzlich durch Multi-Faktor-Authentifizierung abzusichern: "Sogar wenn Kriminelle an Zugangsdaten gelangen, fehlt ihnen ein weiterer Faktor, der zum Login notwendig ist."
11.05.2022/dr

Tipps & Tools

Schwachstellen in GPS-Trackern [2.08.2022]

Sicherheitsforscher von BitSight fanden sechs Schwachstellen in GPS-Trackern des Herstellers MiCODUS. Sie ermöglichen es Hackern unter anderem, den Standort von Personen ohne deren Wissen nachzuverfolgen, Flotten von Liefer- und Einsatzfahrzeugen aus der Ferne zu deaktivieren, und zivile Fahrzeuge auf Autobahnen abrupt anzuhalten. [mehr]

Download der Woche: Metasploit Framework [27.07.2022]

Kenne deinen Gegner. Die alte Weisheit, dass Sie als Admin wie ein Hacker denken müssen, hat mehr denn je Gültigkeit. Erkennen Sie die eigenen Schwachpunkte frühzeitig, sind Sie den Bösewichten einen Schritt voraus. Hier kann Ihnen das Open-Source-Projekt "Metasploit Framework" Hilfe leisten. Mit dem Werkzeug machen Sie Sicherheitslücken in Ihren Netzwerken ausfindig. [mehr]

Fachartikel

Advertorial: E-Book OPNsense – Mehr als eine Firewall [31.07.2022]

Als leicht bedienbare Security-Plattform findet die Open Source Firewall OPNsense in immer mehr Unternehmen Anwendung. Aber OPNsense punktet nicht nur durch hohe Zugänglichkeit und den Wegfall von Lizenzkosten: Dank seines modularen Aufbaus integriert es die besten Open-Source-Sicherheitslösungen unter einer einheitlichen Oberfläche und überzeugt so mit einem Funktionsumfang, der viele kostenpflichtige Lösungen übertrifft. Im neuen E-Book "OPNsense – Mehr als eine Firewall" der Thomas-Krenn.AG und ihrem Partner m.a.x. it finden Sie alle Informationen zum Einstieg in OPNsense und für die Grundabsicherung eines Unternehmensnetzes. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen