Automatisierung des Social Engineerings – Emotet

Schadsoftware bedroht im Prinzip jeden Rechner und ihre Entwicklung schreitet stetig voran.

Die derzeit besonders in den Medien präsente Schadsoftware Emotet, die sogar in der Tagesschau Erwähnung fand, ist in der Lage, Phishing-Angriffe zu automatisieren und erreicht dabei Berichten zufolge ein beeindruckend hohes Maß an Plausibilität: So berichtet z.B. heise.de über durch Emotet ausgeführte Analysen des Kommunikationsverhaltens anhand des beobachteten E-Mail-Verkehrs („Outlook-Harvesting“). Diese erlauben die Erstellung und den Versand „glaubwürdiger“ Phishing E-Mails, u.a. aus dem jeweiligen Adressbuch. In den untersuchten Fällen waren die Transportvehikel für die Schadsoftware mit Makroviren infizierte Microsoft Office Dokumente.

Computerviren

Makroviren waren in der öffentlichen Wahrnehmung über einen längeren Zeitraum schon nahezu in Vergessenheit geraten, sind aber nicht zuletzt seit der Ransomware Locky wieder deutlich wahrnehmbar.

Emotet kann dabei der Wegbereiter für die Infektion mit weiterer Schadsoftware, z.B. mit Banking-Trojanern oder mit Software, die Zugangsdaten sammelt, sein.

Warnung des Bundesamts für Sicherheit in der Informationstechnik

Das BSI warnt derzeit vor Emotet, das einerseits durch die eigene „Intelligenz“ wie auch über Spamkampagnen verbreitet wird.

Die zahlreichen Opfer finden sich derzeit laut dem BSI bei den Privatpersonen, aber auch und insbesondere bei Firmen und Produktionsanlagen. Bereits Mitte November berichtete heise über den Fall eines Klinikums, in dem der Befall mit Emotet dazu führte, dass in mehreren Abteilungen die Systeme nicht mehr funktionsfähig waren und IT-Systeme im größeren Umfang ausgeschaltet werden mussten und der Betrieb merklich beeinträchtigt wurde.

Das BSI stellt im Rahmen der Allianz für Cybersicherheit Schutzmaßnahmen und auch auf den Seiten des BSI für Bürger aktuelle Informationen zur Verfügung.

Schutzmaßnahmen

Zur Vorbeugung vor Phishing-Angriffen empfehlen auch wir u.a. die folgenden Maßnahmen:

• Sensibilisierung der Nutzer, insbesondere wenn bekannt ist, dass die jeweilige Einrichtung an anderer Stelle schon Opfer eines solchen Angriffs geworden ist.
• Sofern möglich, sollten Makros in den Office-Anwendungen deaktiviert werden.
• Die eingesetzten Komponenten des Informationsverbunds (insb. Firmware, Betriebssysteme, Anwendungen) sollten zeitnah aktualisiert und insbesondere Sicherheits-Updates eingespielt werden.
• Es sollten nur die Anwendungen installiert werden, die für die Aufgabenerledigung benötigt werden.
• Es sollte eine mit stets aktualisierten Schadsoftware-Pattern versorgte Anti-Virus-Lösung eingesetzt werden, welche die Schadsoftware idealerweise schon beim Erstkontakt mit dem System erkennen und in Quarantäne stellen kann.