Wie Phoenix aus der Asche: Schadsoftware Emotet zurück

Der Trojaner wurde modifiziert und kann nun E-Mail-Inhalte von infizieren Rechnern auslesen

[datensicherheit.de, 17.08.2020] Auch die PSW GROUP meldet, dass Emotet zurück sei – wie „Phoenix aus der Asche“ sei dieser Trojaner nach knapp fünfmonatiger Pause wieder zurückgekehrt. Wieder habe es eine Welle an Spam-Mails und „Emotet“-Aktivitäten gegeben, so deren IT-Sicherheitsexperten. Man müsse davon ausgehen, auch in Zukunft immer wieder von „Emotet“ in neuen Varianten zu hören – dieser Trojaner zeige, dass das Wettrennen zwischen der IT-Sicherheitsbranche und Cyber-Kriminellen Realität sei und bleiben werde.

Foto: PSW GROUP

Patrycja Tulinska: „Deshalb kann ich nur jedem dringend ans Herz legen, sich und seine IT-Infrastruktur zu schützen!“

Emotet seit Mitte Juli 2020 wieder im Netz

„Seit Mitte Juli gehen vom Botnetz ,Emotet‘ nach gut fünfmonatiger Pause Angriffswellen aus. Die Ziele lagen bislang vorwiegend in den USA sowie im Vereinigten Königreich. Die Opfer des Trojaners erhalten eine E-Mail mit Links oder Word-Dokumenten sowie der Bitte, diese zu öffnen. Erlaubt der Rechner des Opfers Makros, so aktiviert dies die in den Dokumenten enthaltenen Makros, deren Ausführung für die Installation von ,Emotet‘ sorgt“, berichtet Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

Täuschung der Opfer: Emotet kann nun Inhalte von Nachrichten auslesen

Um die Opfer zu verführen, Links und Anhänge anzuklicken, müssten die E-Mails entsprechend echt aussehen – und genau hierbei habe „Emotet“ stark „dazugelernt“: Der Trojaner habe nun die Fähigkeit, aus den E-Mail-Programmen infizierter Rechner neben Kontaktinformationen sowie -beziehungen auch Inhalte von Nachrichten auszulesen. In der Folge seien die Angreifer in der Lage, täuschend echt wirkende Antworten auf Nachrichten zu geben, welche die Nutzer tatsächlich versendet hätten. „Den E-Mail-Empfänger zur Aktivierung von Makros zu bewegen ist da nur noch ein kleiner Schritt.“

Vorschnelles Anklicken kann Emotet Tür und Tor öffnen…

In der Vergangenheit habe „Emotet“ Daten verschlüsselt. Bislang sei unklar, welche Schadsoftware durch ihn nun im Rahmen der neuen Welle konkret auf infizierten Rechnern installiert würden. „In den E-Mails angehängten Dokumenten befinden sich offenbar neue URLs. Diese verweisen auf gehackte ,WordPress‘-Sites. Auf solchen Zielseiten werden verschiedene Informationen angezeigt, etwa, dass es nicht möglich sei, das Dokument ordnungsgemäß zu öffnen. Klicken Nutzer auf derartige Nachrichten, könnte das Tür und Tor für den Trojaner öffnen“, erklärt Tulinska.

Emotet verbündet sich mit anderer Malware

Ist „Emotet“ erst einmal auf einem System, würden Schadprogramme wie „Trickbot“ nachgeladen. Mithilfe dieser können Passwörter, aber auch SSH-Keys oder Cookies gestohlen werden. Hinzu komme die Tatsache, dass sich „Emotet“ im Netzwerk immer weiter verbreitet. Die Sicherheitsforscher von Malwarebytes hätten „Emotet“ vor allem dann Gefährlichkeit attestiert, „wenn er sich mit anderen Schädlingen verbündet, um etwa Ransomware auf die Systeme zu schleusen“.

Emotet wird wohl auch zukünftig ein Wiedergänger in neuen Varianten sein

„Wir müssen davon ausgehen, auch in Zukunft immer wieder von ,Emotet‘ in neuen Varianten zu hören“, warnt Tulinska und betont: „Der Trojaner zeigt, dass das Wettrennen zwischen der IT-Sicherheitsbranche und Cyber-Kriminellen Realität ist und bleiben wird. Deshalb kann ich nur jedem dringend ans Herz legen, sich und seine IT-Infrastruktur zu schützen.“ Zu den wichtigsten Maßnahmen zählten dabei unter anderem

• Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme zügig zu installieren,
• eine im Unternehmen zentral administrierte Anti-Viren Software einzusetzen,
• eine regelmäßige mehrstufige Datensicherung durchzuführen,
• auf ein automatisiertes Monitoring inklusive Alarm bei Anomalien zu setzen und
• ein Berechtigungsmanagement einzuführen, bei dem Angestellte nur Zugang zu Anwendungen oder Konten bekommen, die zu ihrer Aufgabenerfüllung wirklich notwendig sind, und nicht benötige Zugänge oder Software zu deinstallieren.

Eine Verschlüsselung der E-Mail-Kommunikation verhindere zudem das Ausspähen der E-Mail-Inhalte. „Wer durchgängig auf digitale Signaturen setzt, dem gelingt die Validierung bekannter E-Mail-Absender.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 04.08.2020
Emotet: Trojaner kehrt zurück

datensicherheit.de, 10.08.2020
Emotet nach Comeback auf Platz 1 / Check Point veröffentlicht „Global Threat Index“ für Juli 2020 und sieht Emotet, AgentTesla und Dridex auf Spitzenplätzen

datensicherheit.de, 02.08.2020
Emotet: Insbesondere USA und GB im Visier / Offensichtlich ist Emotet nach fünfmonatiger Pause zurück

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails