Der erfolgreiche Schlag gegen das Emotet-Botnetz kein Grund zum Ausruhen

[datensicherheit.de, 28.01.2021] Der „Takedown“ des „Emotet“-Botnetzes sei ein „empfindlicher Schlag gegen Cybercrime“ – indes wohl nur eine „Verschnaufpause für Unternehmen“. Daher sollten Unternehmen die nun so gewonnene Zeit nutzen und ihre Sicherheitsstrategie überprüfen, empfiehlt Tim Berghoff, „Security Evangelist“ bei G DATA.

Foto: G DATA

Tim Berghoff: Gratulation an das BKA, die ZIT und alle Beteiligten zu der sehr erfolgreichen Operation!

Neu-Infektionen mit Emotet – der Allzweckwaffe des Cybercrime – vorerst unterbunden

In einer koordinierten Aktion nationaler und internationaler Ermittlungsbehörden sei das international operierende Botnetz hinter der „Emotet“-Malware zerschlagen worden. Damit sei die Infrastruktur hinter „der Allzweckwaffe des Cybercrime“ nicht mehr funktional – und Unternehmen vorerst vor einer Infektion durch „Emotet“ geschützt.
Bereits erfolgte Infektionen seien aber auch nach der erfolgreichen Aktion nicht bereinigt: „Wer eine Warnung durch das BSI erhalten hat, sollte diese nach wie vor ernstnehmen.“
Berghoff betont: „Wir gratulieren dem BKA, der ZIT und allen Beteiligten zu der sehr erfolgreichen Operation. Die Welt ist durch diese Aktion ein Stück sicherer geworden. Die IT-Sicherheitslage bleibt zwar angespannt, aber allen IT-Verantwortlichen in Unternehmen dürfte ein Stein vom Herzen fallen.“

Wiederaufbau der Emotet-Infrastruktur möglich – wird aber Zeit und Geld kosten

Es sei nicht auszuschließen, dass die Gruppen hinter „Emotet“ das Netzwerk in den kommenden Monaten oder Jahren wiederaufbauen würden – doch dies werde viel Zeit und Geld kosten. „Diese Zeit sollten Unternehmen nutzen, ihre eigene IT-Sicherheitsstrategie zu überprüfen und gegebenenfalls anzupassen“, rät Berghoff.
„Emotet“ sei als „Allzweckwaffe des Cybercrime“ die mit Abstand gefährlichste Bedrohung für Unternehmen. Im vergangenen Jahr, 2020, hätten die Experten von G DATA über 800.000 Samples dieser Schadsoftware identifiziert.
„Emotet“ fungiere quasi als Türöffner und lade nach einer erfolgreichen Infektion des Systems weiteren Schadcode nach. Dabei handele es sich meist um Verschlüsselungstrojaner wie „Ryuk“ oder „Trickbot“. G DATA CyberDefense beobachtet „Emotet“ nach eigenen Angaben seit vielen Jahren „rund um die Uhr“, um Kunden bestmöglich vor dieser Gefahr zu schützen. Die G DATA Gruppe stelle ihre Fähigkeiten im Bereich Malware-Analyse und IT-Forensik regelmäßig auch Ermittlungsbehörden und betroffenen Unternehmen zur Verfügung.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2020
Emotet: Varianten ohne Ende

[datensicherheit.de, 29.10.2020] Laut einer aktuellen Meldung von FireEye warnen Regierungsvertreter in den USA vor Hackern, die versuchten, Daten US-amerikanischer Krankenhäuser zu erbeuten und Lösegeldzahlungen zu erzwingen. In seiner Stellungnahme gibt Charles Carmakal, „SVP“ und „CTO“ von Mandiant, einer Einheit von FireEye, eine Einschätzung dieser Bedrohung.

Ransomware-Angriffe auf US-Gesundheitssystem möglicherweise größte bisherige Cyber-Bedrohung

„Ransomware-Angriffe auf unser Gesundheitssystem sind möglicherweise die größte Cyber-Bedrohung, die wir in den Vereinigten Staaten je gesehen haben. ,UNC1878‘, eine osteuropäische Hacker-Gruppe, nimmt absichtlich US-Krankenhäuser mit Ransomware ins Visier und zwingt sie, Patienten umzuleiten“, berichtet Carmakal.

Ryuk-Ransomware führt zur Abschaltung der Netzwerke

Die Patienten müssten dadurch unter Umständen längere Wartezeiten für dringend notwendige Behandlungen in Kauf nehmen. Mehrere Krankenhäuser seien bereits erheblich von der „Ryuk“-Ransomware betroffen – ihre Netzwerke seien abgeschaltet worden. Carmakal warnt: „Da die Kapazitäten der Krankenhäuser durch ,COVID-19‘ immer stärker beansprucht werden, wird die Gefahr, die von diesem Akteur ausgeht, weiter zunehmen.“

UNC1878 einer der gefährlichsten Ransomware-Akteure

„,UNC1878‘ ist einer der dreistesten, skrupellosesten und gefährlichsten Akteure, die ich im Laufe meiner Karriere beobachtet habe.“ Sie teilten die ihnen vorliegenden Informationen über „UNC1878“, um betroffene Organisationen bei der Verteidigung ihrer Netzwerke zu unterstützen, so Carmakal und verweist auf den aktuellen FireEye-Blogpost „Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser“.

Weitere Informationen zum Thema:

FIREEYE, Kimberly Goody, Jeremy Kennelly, Joshua Shilko, Steve Elovitz, Douglas Bienstock, 28.10.2020
Threat Research / Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser

datensicherheit.de, 16.09.2020
Hacker-Angriffe: Krankenhäuser können Abwehr stärken / Michal Salat gibt Tipps, wie Systeme, Patientendaten und Operationen gegen Hacker geschützt werden können

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 07.05.2020
Kommentar zum Ransomware-Angriff auf Fresenius / Attacken werden zunehmend zielgerichtet

Offensichtlich ist Emotet nach fünfmonatiger Pause zurück

[datensicherheit.de, 02.08.2020] Schon mehrere Meldungen der letzten Zeit warnten vor der Rückkehr einer Schadsoftware: Offensichtlich ist „Emotet“ nach einer fünfmonatigen Pause zurück. Nach aktuellen Erkenntnissen der Rohde & Schwarz Cybersecurity GmbH scheinen nun „besonders die Vereinigten Staaten und Großbritannien ins Visier der Angreifer geraten zu sein“.

Abbildung: Rohde & Schwarz Cybersecurity GmbH

E-Book zur Emotet-Problematik und zu Schutzmaßnahmen

Emotet sucht Eintritt in Netzwerke via Phishing-Mails

Bei der ersten Angriffswelle am 17. Juli seien 250.000 E-Mails verschickt worden, um diese Schadsoftware zu verbreiten. Es bleibe wohl dabei, dass „Emotet“ den Eintritt in die Netzwerke via Phishing-Mails versucht. Diese kämen mit einem Anhang samt Makro.

Emotet aktiviert Verbindung zum C&C-Server der Cyber-Kriminellen

„Aktiviert der Empfänger dieses Makro, wird die Verbindung zum C&C-Server (Command & Control Server) der Angreifer aktiv.“ Dann hätten die Cyber-Kriminellen die Chance, sich im Netzwerk auszubreiten.

Emotet bringt auch noch Trickbot und Ryuk mit

Es werde dann weitere Schadsoftware nachgeladen. Dazu gehöre „Trickbot“, der es auf „Credentials“ abgesehen habe. Zum Schluss komme „Ryuk“ zum Einsatz – eine Ransomware. Diese sorge im schlimmsten Fall dafür, dass alle Daten verschlüsselt werden.

Hohe Erfolgsquote der Emotet-Phishing-Attacke befürchtet

Bei so einer enormen Anzahl von E-Mails sei anzunehmen, dass die Erfolgsquote hoch ausfallen werde, besonders weil diese Fake-Mails kaum von legitimen E-Mails zu unterscheiden seien.

Empfehlungen für Opfer von Emotet

Wer Opfer von „Emotet“ wurde, sollte laut Rohde & Schwarz Cybersecurity folgende generellen Empfehlungen beachten:

• Nehmen Sie alle Rechner vom Netz!
• Identifizieren Sie alle infizierten Rechner!
• Nehmen Sie kompromittierte Accounts dauerhaft vom Netz!
• Setzen Sie alle infizierten Rechner neu auf!

Online-Seminar-Aufzeichnung zu Emotet

In einem aufgezeichneten Online-Seminar geht Rohde & Schwarz Cybersecurity auf die aktuelle Bedrohung durch „Emotet“ ein:

• Lernen Sie „Emotet“ und seine Historie genauer kennen!
• Wie sieht ein Angriff mit „Emotet“ konkret aus?
• Erfahren Sie, welche Schutzmaßnahmen Sie im Vorfeld ergreifen sollten!
• Lernen Sie unsere Lösungen kennen, mit denen Sie sich vor „Emotet“ schützen!

E-Book zu Emotet, Phishing & Co.

Wer sich in die Thematik einlesen möchte, dem empfiehlt Rohde & Schwarz Cybersecurity abschließend ein E-Book:

• Zusammenfassung der Problematik.
• Informationen zu „Emotet, Phishing & Co.“
• Wie man sich effektiv schützen kann.

Weitere Informationen zum Thema:

RS ROHDE&SCHWARZ
Emotet & Co. – Warum Sie sich keine Sorgen machen müssen

RS ROHDE&SCHWARZ
Emotet, Phishing & Co.

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

datensicherheit.de, 23.07.2020
Emotet droht: BKA warnt vor neuer Spamwelle / Wiederauftauchen der „grauen Eminenz der Malware“ – weiterentwickelter Emotet

[datensicherheit.de, 02.12.2019] Marc Schieder, „CIO“ von DRACOON, geht in seiner aktuellen Stellungnahme auf einen Vorfall bei einem Sicherheitsdienstleister ein: Demnach wurde Ende letzter Woche bekannt, dass Prosegur mit Sitz in Madrid der Ransomware „Ryuk“ zum Opfer fiel (zu den Dienstleistungen dieses Unternehmens zählen unter anderem die Abwicklung automatisierter Bargeldprozesse, Geldlogistik, Werte- und Kurierlogistik sowie die Bereitstellung von Sicherheitslösungen). Prosegur sei weltweit tätig – mit 175.000 Mitarbeitern in 25 Ländern. Via twitter habe der Konzern am Nachmittag des 27. November 2019 die Infektion mit dem Verschlüsselungstrojaner „Ryuk“ bestätigt – es seien die notwendigen Sicherheitsmaßnahmen getroffen worden, um eine interne und externe Ausbreitung der Malware zu vermeiden.

Ryuk tritt seit dem Jahreswechsel 2018/2019 vermehrt in Verbindung mit Emotet und Trickbot-Kampagnen auf

Die Ransomware „Ryuk“, die es über Umwege mittels Spam-E-Mails an Mitarbeiter in Unternehmensnetzwerke schafft, sei kein neues Phänomen, so Schieder. Im aktuellen BSI-Lagebericht 2019 werde auf die Gefahr dieser Malware-Variante hingewiesen:
Gezielte Beobachtung der verwendeten Bitcoin-Adressen ließen auf ein bereits erbeutetes Lösegeld von mindestens 600.000 US-Dollar schließen. Außerdem trete „Ryuk“ seit dem Jahreswechsel 2018/2019 vermehrt in Verbindung mit „Emotet“ und „Trickbot“-Kampagnen auf, was die erhöhte Modularität bei Schadsoftware allgemein, insbesondere aber bei Ransomware zeige.

100 international tätige Konzerne ins Visier genommen

Auch im aktuellen, im November 2019 erschienenen „Bundeslagebild Cybercrime 2018“ des Bundeskriminalamts finde „Ryuk“ Erwähnung. Das FBI habe 2018 einen Bericht veröffentlicht, wonach der Verschlüsselungstrojaner seit August 2018 durch bisher unbekannte Angreifer genutzt worden sei, um über 100 international tätige Konzerne zu erpressen.
Dabei sollen einzelne Forderungssummen in Höhe von bis zu fünf Millionen US-Dollar in Bitcoins festgestellt worden sein. Im Gegenzug sei den Opfern wohl ein Entschlüsselungsprogramm versprochen worden.

Organisatorische und die technische Vorkehrungen erforderlich

Bei der Frage, wie sich Firmen in Zeiten der wachsenden Gefährdungslage schützen können, gibt es laut Schieder zwei Ebenen: Die organisatorische und die technische. Unternehmen sollten zum einen dringend ihre Mitarbeiter für schädliche Spam-E-Mails sensibilisieren, d.h. anweisen E-Mails und Anhänge von unbekannten Absendern nicht zu öffnen. Auch wenn die Empfänger bereits bekannt sind, sollten unerwartete Dateien im Anhang nicht unbedarft geöffnet werden.
Schulungen und Awareness für Cyber-Angriffe seien also wichtige Bausteine, um das Sicherheitsniveau im Betrieb zu erhöhen. Aber sie könnten immer nur eine Ergänzung sein, denn Menschen machten Fehler und professionell gefälschte Spam-Mails ließen sich häufig kaum noch von legitimen Nachrichten unterscheiden.

Plädoyer für das Prinzip „Security by Design“

Schieder: „Die Nutzung einer Filesharing-Lösung im eigenen Firmen-Branding schafft hingegen Vertrauen. Der Datenaustausch erfolgt dann über einen Link zu den abgelegten Dateien und anhand der darin integrierten eigenen URL kann der Empfänger sicher sein, zu vertrauenswürdigem Inhalt zu gelangen.“
Zusätzlich sei es bei der Anschaffung neuer Unternehmenssoftware unerlässlich, darauf zu achten, dass sie höchsten Sicherheitsansprüchen genügt und das Thema Security bereits bei der Entwicklung berücksichtigt wurde – sie also nach dem Prinzip „Security by Design“ entwickelt worden ist. Um eine Infektion mit Ransomware von Vornherein auszuschließen, sollten Filesharing-Lösungen über einen integrierten Ransomware-Schutz verfügen, rät Schieder.

Versionierung des Papierkorbs erlaubt Wiederherstellung der Daten

Schieder erläutert die Funktion: „Sollte ein Verschlüsselungstrojaner trotz aller Vorsichtsmaßnahmen lokale Laufwerke oder Netzwerklaufwerke verschlüsseln, verlieren Firmen dank einer Versionierung des Papierkorbs trotzdem keine einzige Datei.“
Schließlich würden die Daten bei einem Ransomware-Angriff mit den verschlüsselten überschrieben – die unverschlüsselten Versionen der Daten lägen automatisch im Papierkorb und könnten vollständig und unbeschadet wiederhergestellt werden. „Insgesamt sollten Unternehmen also das Bewusstsein für Gefahren bei ihren Mitarbeitern schärfen und gleichzeitig darauf achten, dass ihre verwendeten Lösungen höchsten Standards an die Sicherheit gerecht werden.“

Weitere Informationen zum Thema:

Prosegur auf twitter, 27.11.2019
Statement on information security incident

Bundesamt für Sicherheit in der Informationstechnik (BSI), 2019
Die Lage der IT-Sicherheit in Deutschland

Bundeskriminalamt (BKA), 11.11.2019
Bundeslagebild Cybercrime 2018

datensicherheit.de, 11.08.2019
Unternehmen: Ransomware-Angriffe um 365 Prozent angestiegen

datensicherheit.de, 08.08.2019
Ransomware: Das Netzwerk als effektivste Waffe Cyber-Krimineller

datensicherheit.de, 05.08.2019
GermanWiper: In Bewerbungen versteckte Ransomware

datensicherheit.de, 24.07.2019
Ransomware: Tipps zur Vermeidung des Digitalen Supergaus