Emotet: Erneute Verbreitung über gefälschte E-Mails

Michael Kretschmer gibt Empfehlungen für Unternehmen und private Nutzer

[datensicherheit.de, 10.02.2019] Ende Januar 2019 wurde bekannt, dass sich der Trojaner „Emotet“ erneut im Umlauf befindet – er versteckt sich laut Medienberichten derzeit unter anderem hinter gefälschten E-Mails von Amazon, Telekom oder Vodafone. Bei diesen E-Mails handelt es sich laut Michael Kretschmer, „VP EMEA“ von Clearswift RUAG Cyber Security, um „sehr professionell erstellte und dadurch täuschend echt aussehende Phishing-Nachrichten“, die den Leser dazu verleiten sollen, das Attachment zu öffnen. Der Grund für die hohe Glaubwürdigkeit der Nachrichten sei die Tatsache, dass die Angreifer sich Technologien wie „Machine Learning“ oder KI (Künstliche Intelligenz) bedienten, um diese E-Mails möglichst vertrauensvoll erscheinen zu lassen.

Gefälschte E-Mails mit unechter Rechnung als „Word“-Dokument im Anhang

Im Anhang der Nachricht finde sich in einem Großteil der Fälle eine unechte Rechnung als „Word“-Dokument mit eingebetteter Makrofunktion. Kretschmer: „Öffnet der Empfänger den schadhaften Anhang, ist der Rechner infiziert und der Trojaner befindet sich im System. Wird der Schadcode ausgeführt, verwendet dieser auch hier extrem fortgeschrittene Technologien und Exploits zur internen Weiterverarbeitung.“
So sei beispielsweise festgestellt worden, dass „Emotet“ den sogenannten „Eternal Blue Exploit“ verwendet – „jene Schwachstelle, die der US-Geheimdienst NSA jahrelang genutzt hat, bevor diese an Microsoft gemeldet wurde“. Zwar gebe es Patches für diesen Exploit, doch diese seien bisher unter Nutzern nicht sehr weit verbreitet. Der CERT-Bund des BSI, das „Computer Emergency Response Team“ für Bundesbehörden, habe Ende Januar 2019 ausdrücklich vor diesen gefälschten E-Mails gewarnt.

E-Mail-Sicherheit: Lösung mit „Spoof Detection“ empfohlen

Bezüglich der Schutzvorkehrungen im Hinblick auf „Emotet“ gebe es eine Reihe von Maßnahmen, die User und Unternehmen ergreifen könnten, um sich zu schützen:
Im Hinblick auf „Spoofing“ (Vortäuschung) sei es sinnvoll, auf eine Lösung zur E-Mail-Sicherheit zurückzugreifen, die über ein Feature zur „Spoof Detection“ verfügt, „welche sich idealerweise in den Regeln zur Spam-Filterung einstellen lässt“. Sinnvoll sei es auch, wenn Lösungen die Einrichtung und Verwendung von DMARC (Domain-based Message Authentication, Reporting and Conformance) unterstützten. „Das Besondere bei diesem DNS-basierten Verfahren ist, dass auch der ,From‘-Header einer Mail berücksichtigt und überprüft wird, so dass ,From‘-Spoofing dadurch verhindert werden kann.“

Ausführbare Dateien im Anhang grundsätzlich blocken!

Allerdings seien selbstverständlich nicht alle „Emotet“-Angriffe auf „Spoofing“ zurückzuführen. In manchen Fällen würden E-Mail-Adressen verwendet, „die legitim und nicht gefälscht sind, allerdings gehackt wurden“. Hierbei sei es sinnvoll, „wenn die eingesetzte Lösung zur E-Mail-Sicherheit Funktionen bietet, mit dessen Hilfe ausführbare Dateien von vornherein geblockt werden können“.
Auch ließen sich bei einigen Herstellern verschlüsselte Archive und „gefährliche“ Dateiendungen, oder sogar jegliche Dokumente mit aktiven Inhalten, blockieren. Um zusätzliche Sicherheit zu gewähren, sollte die Schutzlösung um Antivirussoftware erweitert werden – manche Hersteller böten die Möglichkeit der Erweiterung um bis zu drei Virenscanner. Dies sei als erweiterte Maßnahme „in jedem Falle sinnvoll“, da sich die Erkennungsrate der Scanner wesentlich erhöhe.

„Word“-Dokumente im Web: Eigenschaften können Angreifern Informationen liefern

Abgesehen von technischen Maßnahmen sollten Unternehmen unbedingt auf ihre ausgehenden Daten achten – „schließlich müssen die Angreifer ihre Informationen über den Betrieb irgendwo eingesehen haben“. Diese Unternehmensdaten könnten aus „Word“-Dokumenten stammen, die im Web verfügbar sind: Diese enthielten (Dokument)-Eigenschaften, und somit gleichzeitig Informationen über den Betrieb, welche die Angreifer zu ihrem Vorteil nutzen könnten.
„All diese Maßnahmen in Kombination führen dazu, dass Nutzer und Unternehmen gut gewappnet sind vor dem Kompromittieren ihrer Daten und dem damit einhergehenden finanziellen Schaden sowie dem oftmals nicht messbaren Reputationsverlust“, sagt Kretschmer.

Bild: Clearswift RUAG Cyber Security

Michael Kretschmer: Warnung vor Reputationsverlust

Weitere Informationen zum Thema:

datenscherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv