Emotet

Emotet | Immer mehr Trojaner-Angriffe über Office-Dateien

/in /von

Die Corona-Pandemie hat vor allem eins herbeigeführt: Homeoffice als neuen Standard. Doch welche Auswirkungen hat das auf die Verbreitung von Schadsoftware? SonicWall hat zur Verdeutlichung der gestiegenen Angriffe seine Daten und Zahlen veröffentlicht. In diesem Artikel erfährst Du wie Du Dich vor solchen Angriffen künftig schützen und welche Präventionsmaßnahmen Du ergreifen kannst.

Inhaltsverzeichnis: 

Was ist Emotet überhaupt?
Infektionsablauf
Warum sind gefährliche E-Mails so schwer zu erkennen?
Wie erkenne ich Emotet?
Welche Schutzmaßnahmen kann ich gegen Emotet ergreifen?

Allein von Januar bis Juni stiegen die Zahlen der Angriffe auf Office-Dateien um mehr als die Hälfte an. Grund dafür ist die erhöhte Nutzung von Online-Anwendungen aus dem Homeoffice. Der Angriff wird dabei immer häufiger in einer Antwort auf eine zuvor gesendete E-Mail verübt. Die E-Mail enthält dabei eine Office-Datei, dessen Bearbeitung der Empfänger beim Öffnen zunächst aktivieren muss.

Dadurch werden Makros aktiviert – und da haben wir das Problem: dein Rechner wird mit Emotet infiziert!

Was ist Emotet überhaupt?

Emotet wurde 2014 erstmalig von Sicherheitsexperten entdeckt. Ursprünglich wurde Emotet als Banking-Trojaner eingesetzt, um vertrauliche Informationen und Daten auszuspähen. Hauptsächlich wird Emotet durch Spam-E-Mails verbreitet und weist meist eine harmlose Betreffzeile wie „Ihre Rechnung“ oder „Zahlungsdetails“ auf.

Infektionsablauf:

Infektionsablauf Emotet

  1. Das Opfer empfängt eine E-Mail mit einem Anhang. Es kann sich dabei zum Beispiel um eine Word- oder Excel-Datei handeln
  2. Das Opfer öffnet die E-Mail mit dem Anhang
  3. Das Opfer verlässt den geschützten Bearbeitungsmodus und aktiviert die Makros
  4. Die aktivierten Makros verursachen den Download von Emotet von einer Website
  5. Emotet ist nun auf dem Laptop und lädt TrickBot (Schadsoftware) herunter
  6. Der heruntergeladene TrickBot greift dabei über sogenannte SMB-Protokolle auf Unternehmensdaten zu
  7. Der Angreifer installiert im nächsten Schritt die Ryuk Ransomware und verschlüsselt so die Unternehmensdaten

Das Opfer hat nach dem Angriff lediglich 2 Möglichkeiten:

  • 8a: Entweder hat das Opfer Offline-Backups (beispielsweise auf einer externen Festplatte), denn dann können die infizierten Geräte zurückgesetzt werden
  • 8b: Das Opfer hat keine Offline-Backups und muss dementsprechend das vom Angreifer verlangte Lösegeld bezahlen, um wieder den Zugriff auf Unternehmensdaten zu erhalten.

Warum sind gefährliche E-Mails so schwer zu erkennen?

Auch wenn die E-Mail von einem bekannten Absender versendet wurde, eventuell sogar von einem internen Mitarbeiter, kann sich dahinter eine gefährliche E-Mail befinden. Man spricht dabei von „Spear-Phishing“. Dabei werden Informationen von einem einzelnen Nutzer gefischt und Angriffe verübt.

Aber wie kann das sein, dass eine solche E-Mail von einem bekannten Absender versendet wird? Dafür kann es mehrere Gründe geben, wie zum Beispiel:

  • Das E-Mail-Postfach des Absenders wurde gehackt und ohne sein Wissen versendet
  • oder der Enkeltrick wurde angewendet, welchen das Sicherheitssystem nicht erkannt hat

Mehr über sogenanntes Spear-Phishing erfährst Du in unserem Blog-Artikel.

Wie erkenne ich Emotet?

Emotet ist grundsätzlich sehr schwierig zu erkennen und es gibt keine Software, die einem eine 100%ige Sicherheit gewährt. Denn Trojaner wie Emotet verändern bei jedem Angriff den Code und lassen sich so nur schwer erkennen. Es gibt allerdings Präventionsmaßnahmen, die man ergreifen kann, um sich vor solchen Angriffen zu schützen. Diese listen wir Dir im Folgenden auf:

Welche Schutzmaßnahmen kann ich gegen Emotet ergreifen?

  • Das Ausführen von Makros in Microsoft Office verhindern (einzurichten über die Gruppenrechtlinien im Unternehmen) Eine genaue Anweisung findest Du im Artikel von Heise.
  • 3-Sekunden-Sicherheits-Check: Prüfe Absender, Betreff und Anhang! Sind es sinnvolle Inhalte, die an Dich verschickt werden? Kennst du den Absender? Wenn Dir irgendetwas unseriös oder nicht passend vorkommt, öffne die E-Mail bzw. den Anhang erst gar nicht!
  • Informiere Dich regelmäßig über Änderung und sensibilisiere Deine Mitarbeiter und Deine IT-Abteilung für solche Themen. Sinnvoll ist es auch regelmäßig Schulungen und Trainings durchzuführen. Falls dir die Zeit für das regelmäßige Informieren fehlt, kannst Du den BSI-Newsletter abonnieren und so immer auf dem Laufenden bleiben.
  • Backups sind das A und O! Riskiere keinen Datenverlust und führe regelmäßig Updates durch
  • Verteile Berechtigungen immer nur an die Mitarbeiter, die diese auch wirklich benötigen. Dadurch schützt Du Dich und Dein Unternehmen bereits mehr als Du Dir vorstellen kannst.

Für mehr Vorsichtsmaßnahmen steht für Dich und Deine Mitarbeiter ein PDF-Dokument zum Download zur Verfügung.

Bei Fragen zur IT-Sicherheit in Deinem Unternehmen, kannst Du Dich gerne bei uns unter hallo@gct.de oder 06172 94 86-0 melden.