Certified Security Operations Center GmbH

22. Juli 2020

Malware Emotet: Was tun?

Trojaner Emotet ist zurück

Eine neue Angriffswelle durch die Schadsoftware Emotet verbreitet sich aktuell und hat im ersten Schritt die USA und Großbritannien erreicht. In E-Mails werden Links oder Anhänge übermittelt, die die Betroffenen durch Social Engineering zum Aktivieren der Word-Makros verleiten. Die Schwachstelle Mensch spielt eine entscheidende Rolle, da die Schadsoftware auch in der Lage ist, sich in bestehende Konversationen einzuklinken und folglich Antworten zu senden.

Über die auf dem Zielrechner installierte Schadsoftware werden Informationen gesammelt und eine Ausbreitung im Netzwerk eingeleitet. Erst nach einigen Tagen wird eine Ransomware wie Ryuk nachgeladen, über welche die Systeme verschlüsseln werden. Die Erpresser fordern zumeist hohe Geldsummen in Form von Kryptowährung für die Freigabe der Dateien.

Medienberichten zufolge steht hinter den Angriffen die Hackergruppe „TA542“, auch genannt „Mummy Spider“, die es vorwiegend auf Industrieunternehmen in den USA und Großbritannien abgesehen hat.

Großen Schaden hatte Emotet in der Vergangenheit auch bei Behörden, staatlichen Einrichtungen und Unternehmen in Deutschland angerichtet. Bekannte Fälle wie die Universität Gießen und das Berliner Kammergericht konnten über Tage nur eingeschränkt agieren und mussten Systeme teilweise komplett austauschen.

Was tun im Verdachts- oder Angriffsfall?

Sollten Sie den Verdacht haben (etwa nach dem Klick auf eine unseriöse Mail oder bei der Ausweitung eines Schadcodes im Netzwerk), dass Ihr Unternehmen vom Trojaner Emotet angegriffen wurde oder sollte sich dies bereits bestätigt haben, nehmen Sie unverzüglich Kontakt mit uns auf. Unsere CSOC-Mitarbeiter haben die aktuellen Vorgänge im Blick und sind für den Trojaner und seine Anzeichen sensibilisiert.  Denn das Tückische bei Emotet ist ja: Um möglichst hohen Schaden anzurichten verhält sich der Trojaner zunächst ruhig und kaum bemerkbar. Erst, wenn er sich strategisch verteilt hat, um ein breites Feld zu infizieren, beginnt er mit der Verschlüsselung.

Die systematische Früherkennung im SOC as a Service schließt auch neue Angriffsszenarien wie die von Emotet mit ein, die anhand spezifischer, auf Basis von Phishingmails initiierter Angriffsmuster erkannt werden können. Die frühzeitige Detektion einer solchen Cyberbedrohung verhilft Ihnen zur zeitnahen Reaktion, welche alle bekannten Folgeschäden wie Datenklau oder Verschlüsselung erheblich verringern kann.

error: