In Deutschland werden aktuell ganze Firmen von Cyberkriminellen lahmgelegt – in Einzelfällen erreichen die Schäden schon Millionenhöhe, und der Gesamtumfang lässt sich noch nicht wirklich überblicken. Schon vor einem Monat gab es hier erste Berichte darüber.

Der Verursacher wird inzwischen „Emotet“ genannt

Verursacher der Schäden ist Emotet – ein Trojaner, der mit extrem gut gemachten Phishing-Mails auf den Rechner kommt und sich dabei kaum von echten Mails unterscheidet.

Die die Infektion auslösenden Emotet-Mails mit Trojaner-Anhang stammen scheinbar von Kollegen, Geschäftspartnern oder von Bekannten. Sowohl CERT-Bund als auch Polizei-Behörden berichten von einer großen Zahl von Infektionen besonders bei Unternehmen und Behörden. Der Zentralen Ansprechstelle Cybercrime des LKA Niedersachsen liegen alleine dutzende aktuelle Vorfälle bei Unternehmen vor.

Offenbar haben die Kriminellen hinter Emotet Methoden und Techniken der staatlich geförderten Hacker-Gruppen übernommen. “Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden” erklärt auch der BSI-Präsident Arne Schönbohm die neuartige Qualität der Angriffe mit Emotet. Als konkrete Vorbilder für die aktuellen Cybercrime-Aktivitäten gelten Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion.

Von Spear Fishing zu Dynamite-Phishing

Bei einem Spear-Phishing-Angriff schicken die Angreifer extrem gut auf eine Zielperson zugeschnittene Emails, mit der Absicht, diese Person dazu zu verleiten, den anhängenden Mail-Anhang zu öffnen. So dringen die kriminellen Hintermänner sogar in die gesicherten Netze der Regierungen und Rüstungskonzerne ein.

Schon seit Monaten sammelt Emotet bei seinen Opfern Informationen dazu, wer in einer Firma mit wem kommuniziert. Die neuesten Versionen greifen auch den Inhalt der Mails ab. Mit diesen Informationen lassen sich Phishing-Mails erstellen, die nahezu perfekt an das normale Kommunikationsverhalten in einem Unternehmen angepasst sind.

Anders als beim Spear-Phishing werden diese Emails aber nach wie vor automatisiert erstellt und in großer Stückzahl verschickt. Deshalb schlägt Heise vor, sie angesichts Verbreitung und Wirkung eher als “Dynamite-Phishing” bezeichnen.

Die aktuellen Emotet-Mails enthalten eine DOC-Datei mit Makros darin. Deren Ausführung muss der Empfänger zwar nach dem Öffnen in Microsoft Word erst erlauben, Aber das passiert leider offenbar immer wieder.

Letztlich wird der Rechner über die eingebettete PowerShell-Kommandos infiziert und dann weitere Schad-Software aus dem Internet nachgeladen.

Das Lateral Movement kann Firmennetze lahmlegen

Das Lahmlegen der gesamten IT wird aber nicht durch die Erstinfektion verursacht, sondern durch den Versuch von Emotet, sich nach dem Vorbild der APT-Hacker zunächst im Netz auszubreiten (Lateral Movement). Dazu nutzt es auf dem Rechner abgeerntete Zugangsdaten und auch einen Exploit, der aus den Geheimlabors der NSA stammt.

Mithilfe von EternalBlue kaperten schon früher US-Hacker mit Regierungsauftrag jahrelang hinweg ganze Firmennetze. Jetzt nutzen die Emotet-Hacker den Exploit und finden offensichtlich immer noch Opfer, die den ja vorhandenen und von Microsoft bereitgestellten Patch bisher nicht installiert haben.

Schutz vor Emotet

Zum Schutz vor Emotet-Infektionen sollte man auf eine Kombination von Problembewusstsein bei den Mitarbeitern und technischen Maßnahmen setzen.

Kernpunkt einer Infektion ist ja die Ausführung von Makros, die für DOC-Dateien, die man per Email erhält, eigentlich nur selten wirklich erforderlich ist.

Deshalb sollten Administratoren dies beispielsweise über Gruppenrichtlinien möglichst verbieten. Interessanterweise funktionieren die Emotet-Makros in der frei verfügbaren Open-Source-Lösung LibreOffice übrigens nicht.

Weiter sollte man auch Maßnahmen zur Stärkung des Sicherheitsniveaus im Firmennetz durchführen, die die Ausbreitung verhindern oder wenigstens einschränken. Wichtigste Voraussetzung dafür ist das Einspielen aktueller Sicherheits-Updates. Beim Bundesamt für die Sicherheit in der Informationstechnologie (BSI) gibt es noch weitere konkrete Tipps zum Schutz vor Emotet für Bürger und auch im Rahmen der Allianz für Cybersicherheit auch für Administratoren von Firmennetzen.