Das US-CERT bezeichnet Emotet als die aktuell wohl zerstörerischste und ruinöseste Schad-Software. Wer sich jetzt noch nicht gegen die möglichen Gefahren abgesichert hat, bringt sich und verbundene Unternehmen in höchstes Risiko. Weiterhin deuten alle Zeichen darauf hin, dass Emotet seine Aktivitäten in den nächsten Monaten noch stärker ausweiten wird.

Das von Emotet erfundene sogenannte „Dynamit-Phishing“ greift in existierende Kommunikationsbeziehungen (E-Mail) ein. Dabei erhält das ausgewählte Opfer scheinbar Antworten auf eigene Mails, deren Inhalt Emotet zuvor auf anderen Systemen gestohlen hat. Diese Trojaner-Mails sind so glaubwürdig gestaltet, dass selbst geschulte und aufmerksame Mitarbeiter früher oder später darauf reinfallen können. In den untersuchten Fällen waren die Transportvehikel für die Schadsoftware infizierte Microsoft Office Dokumente, die Office-Makros enthielten.

Warnungen des Bundesamts für Sicherheit in der Informationstechnik beachten!!

Das BSI warnte schon vor mehreren Monaten vor Emotet, das einerseits durch die eigene „Intelligenz“ wie auch über Spamkampagnen verbreitet wird. Die anschließenden Lösegeldforderungen können leicht über 100.000 € liegen und somit existenzbedrohend sein. Die potentiellen Opfer sind laut dem BSI nicht nur Großunternehmen und Konzerne, sondern ebenso mittelständische Unternehmen, Versorger, Verwaltung und, was am niederträchtigsten ist, Krankenhäuser. Bereits Mitte November letzten Jahres berichtete heise über den Fall eines Klinikums, in dem der Befall mit Emotet dazu führte, dass in mehreren Abteilungen die Systeme nicht mehr funktionsfähig waren und IT-Systeme im größeren Umfang ausgeschaltet werden mussten und der Betrieb merklich beeinträchtigt wurde. Aktuell ist auch heise selbst betroffen. Die Heise Gruppe berichtet offen über den Infektionsweg und die bisher entstandenen Kosten des Befalls.

Das BSI stellt im Rahmen der Allianz für Cybersicherheit Informationen zu Schutzmaßnahmen zur Verfügung.

Schutzmaßnahmen

Zur Vorbeugung vor Phishing-Angriffen haben auch wir bereits im Dezember letzten Jahres die folgenden Maßnahmen empfohlen:

  • Sensibilisierung der Nutzer, insbesondere wenn bekannt ist, dass die jeweilige Einrichtung an anderer Stelle schon Opfer eines solchen Angriffs geworden ist.
  • Sofern möglich, sollten Makros in den Office-Anwendungen deaktiviert werden.
  • Die eingesetzten Komponenten des Informationsverbunds (insb. Firmware, Betriebssysteme, Anwendungen) sollten zeitnah aktualisiert und insbesondere Sicherheits-Updates eingespielt werden.
  • Es sollten nur die Anwendungen installiert werden, die für die Aufgabenerledigung benötigt werden.
  • Es sollte eine mit stets aktualisierten Schadsoftware-Pattern versorgte Anti-Virus-Lösung eingesetzt werden, welche die Schadsoftware idealerweise schon beim Erstkontakt mit dem System erkennen und in Quarantäne stellen kann.
  • Zusätzlich ist es empfehlenswert, bereits über Regeln des Mailservers bzw. der Firewall, die Annahme von Dateien zu verweigern, die Viren enthalten könnten. Hierzu gehören auch die älteren Dateiformate von MS-Office, wie z.B. .doc, .xls, .ppt etc. Die Sperrung solcher Dateiformate dürfte in der Praxis nicht zu großen Problemen führen, denn für die besagten Dateiformate stehen seit nunmehr über zehn Jahren gute Nachfolger zu Verfügung (.docx, .xlsx, .pptx).Wenn Sie solche Regeln im Mailserver installieren, sollte der E-Mail-Empfänger benachrichtigt werden, dass ihm eine Mail nicht zugestellt wird. Nur dann kann er sich an den Absender wenden und um die erneute Übersendung der Datei in einem aktuellen Dateiformat bitten.