von Redaktion IT-A…
Lesezeit
2 Minuten
Emotet wird wieder aktiv
Es gibt kaum eine andere Schadsoftware, die derartig raffiniert ihr Unwesen treibt wie Emotet. Nachdem 2021 die Zerschlagung der Infrastruktur von Emotet durch Behörden gelang, war es lange Zeit ruhig um die Schadsoftware. Doch die Aktivitäten mit dem Schädling haben wieder zugenommen, warnen die IT-Sicherheitsexperten der PSW GROUP.
In der Vergangenheit wurde das Schadprogramm Trickbot nachgeladen, wenn es Emotet einmal aufs System geschafft hatte. Nun ist es genau andersherum und Trickbot verbreitet neue Emotet-Varianten. Rund 140.000 Trickbot-Emotet-Opfer in 149 Ländern soll es in den vergangenen zehn Monaten, die seit der vermeintlichen Zerschlagung der Emotet-Infrastruktur vergangen sind, bereits geben. Zu dieser Einschätzung kommen Security-Forscher von Check Point Research.
"Was wir bisher wissen, ist, dass neue Emotet-Varianten ausgerechnet durch die Schadsoftware Trickbot verbreitet werden. Dieses Warnsignal müssen wir sehr ernst nehmen und von einer deutlichen Zunahme an Ransomware-Attacken noch in diesem Jahr ausgehen. Denn Emotet ist eine der heimtückischsten Schadprogramme, die wir kennen. Einmal auf dem Rechner gelandet, lädt Emotet weitere Trojaner nach, die sich ihrerseits im Netzwerk einnisten und Backdoors installieren", sagt Partrycja Schrenk, Geschäftsführerin der PSW GROUP [1].
Analysen von Zscaler zeigen außerdem, dass es bei der aktuellen Emotet-Version offenbar Änderungen bei der genutzten Verschlüsselung und den Command & Control-(C&C)-Daten gibt. Für die C&C-Kommunikation scheint die Schadsoftware HTTPS anstelle von HTTP zu nutzen, sodass Emotet einer frühen Erkennung entgehen kann. Black Lotus Labs fand zudem heraus, dass es den Cyberkriminellen hinter Emotet möglich ist, über die Liste laufender Prozesse auf kompromittierten Systemen zusätzliche Systeminformationen zu sammeln. Die Botnet-Infrastruktur umfasst den Erkenntnissen dieser Sicherheitsforschenden zufolge knapp 200 C&C-Server – die meisten Domänen befinden sich in den USA, in Deutschland, Frankreich, Kanada, Großbritannien sowie Ländern Südostasiens.
Besser vorbereiten
Angesichts dieser Entwicklung sollten sich Unternehmen dringend vorbereiten. Dazu gehört zum Einen, ein Wissen über Cyberbedrohungen wie Emotet zu schaffen – durch Sensibilisierung der Beschäftigten in Awareness-Schulungen. Zum anderen sind technische Maßnahmen zu ergreifen. Dazu gehört es, Sicherheitsupdates zeitnah einzuspielen, um etwaige Sicherheitslücken zu schließen, eine Antiviren-Software zu nutzen und auch diese regelmäßig zu patchen, sowie Backups zu erstellen.
"Sollte Ransomware Daten verschlüsseln, ist eine vorherige Datensicherung in regelmäßigen Intervallen Gold wert. Wichtig ist allerdings, die Backups getrennt von der sonstigen IT-Infrastruktur aufzubewahren. Nach dem Reinigen der Systeme können diese Daten dann einfach wieder in das System eingespielt werden", so Schrenk. Hilfreich sei auch ein Monitoring der IT-Infrastruktur durch Künstliche Intelligenz, beispielsweise mit XDR-Lösungen. Sie setzen nicht nur an Endpunkten an, sondern behalten die komplette IT-Infrastruktur im Blick und schlagen bei Veränderungen Alarm.
"Ich rate außerdem zur Netzwerk-Segmentierung, bei der Client-, Server-, Domain-Controller-Netze sowie die Produktionsnetze voneinander getrennt und jeweils isoliert administriert werden", gibt Schrenk einen Tipp und fährt fort: "Zudem verhindert ein ausführliches und feingranular ausgearbeitetes Berechtigungskonzept unbefugte Zugriffe auf die Infrastruktur sehr effizient. Anfangs mag das nach viel Arbeit aussehen, die sich jedoch im späteren Verlauf lohnt, da Anpassungen bei Bedarf schnell realisiert sind." Auch externe Zugriffe auf das Unternehmensnetzwerk sollten dabei durch ein VPN abgesichert werden. So empfiehlt die IT-Sicherheitsexpertin, diese Zugänge zuätzlich durch Multi-Faktor-Authentifizierung abzusichern: "Sogar wenn Kriminelle an Zugangsdaten gelangen, fehlt ihnen ein weiterer Faktor, der zum Login notwendig ist."
dr
[1] https://www.psw-group.de/blog/emotet-ist-zurueck/8926
"Was wir bisher wissen, ist, dass neue Emotet-Varianten ausgerechnet durch die Schadsoftware Trickbot verbreitet werden. Dieses Warnsignal müssen wir sehr ernst nehmen und von einer deutlichen Zunahme an Ransomware-Attacken noch in diesem Jahr ausgehen. Denn Emotet ist eine der heimtückischsten Schadprogramme, die wir kennen. Einmal auf dem Rechner gelandet, lädt Emotet weitere Trojaner nach, die sich ihrerseits im Netzwerk einnisten und Backdoors installieren", sagt Partrycja Schrenk, Geschäftsführerin der PSW GROUP [1].
Analysen von Zscaler zeigen außerdem, dass es bei der aktuellen Emotet-Version offenbar Änderungen bei der genutzten Verschlüsselung und den Command & Control-(C&C)-Daten gibt. Für die C&C-Kommunikation scheint die Schadsoftware HTTPS anstelle von HTTP zu nutzen, sodass Emotet einer frühen Erkennung entgehen kann. Black Lotus Labs fand zudem heraus, dass es den Cyberkriminellen hinter Emotet möglich ist, über die Liste laufender Prozesse auf kompromittierten Systemen zusätzliche Systeminformationen zu sammeln. Die Botnet-Infrastruktur umfasst den Erkenntnissen dieser Sicherheitsforschenden zufolge knapp 200 C&C-Server – die meisten Domänen befinden sich in den USA, in Deutschland, Frankreich, Kanada, Großbritannien sowie Ländern Südostasiens.
Besser vorbereiten
Angesichts dieser Entwicklung sollten sich Unternehmen dringend vorbereiten. Dazu gehört zum Einen, ein Wissen über Cyberbedrohungen wie Emotet zu schaffen – durch Sensibilisierung der Beschäftigten in Awareness-Schulungen. Zum anderen sind technische Maßnahmen zu ergreifen. Dazu gehört es, Sicherheitsupdates zeitnah einzuspielen, um etwaige Sicherheitslücken zu schließen, eine Antiviren-Software zu nutzen und auch diese regelmäßig zu patchen, sowie Backups zu erstellen.
"Sollte Ransomware Daten verschlüsseln, ist eine vorherige Datensicherung in regelmäßigen Intervallen Gold wert. Wichtig ist allerdings, die Backups getrennt von der sonstigen IT-Infrastruktur aufzubewahren. Nach dem Reinigen der Systeme können diese Daten dann einfach wieder in das System eingespielt werden", so Schrenk. Hilfreich sei auch ein Monitoring der IT-Infrastruktur durch Künstliche Intelligenz, beispielsweise mit XDR-Lösungen. Sie setzen nicht nur an Endpunkten an, sondern behalten die komplette IT-Infrastruktur im Blick und schlagen bei Veränderungen Alarm.
"Ich rate außerdem zur Netzwerk-Segmentierung, bei der Client-, Server-, Domain-Controller-Netze sowie die Produktionsnetze voneinander getrennt und jeweils isoliert administriert werden", gibt Schrenk einen Tipp und fährt fort: "Zudem verhindert ein ausführliches und feingranular ausgearbeitetes Berechtigungskonzept unbefugte Zugriffe auf die Infrastruktur sehr effizient. Anfangs mag das nach viel Arbeit aussehen, die sich jedoch im späteren Verlauf lohnt, da Anpassungen bei Bedarf schnell realisiert sind." Auch externe Zugriffe auf das Unternehmensnetzwerk sollten dabei durch ein VPN abgesichert werden. So empfiehlt die IT-Sicherheitsexpertin, diese Zugänge zuätzlich durch Multi-Faktor-Authentifizierung abzusichern: "Sogar wenn Kriminelle an Zugangsdaten gelangen, fehlt ihnen ein weiterer Faktor, der zum Login notwendig ist."
dr
[1] https://www.psw-group.de/blog/emotet-ist-zurueck/8926
