RATGEBER INTERNETKRIMINALITÄT

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Erneut massive Verbreitung von Emotet

Trojaner verbreitet sich über Word-Datei per Mail. Bereits geführter Schriftverkehr wird weitergeführt.
Klären Sie Ihre Mitarbeiter rechtzeitig auf!

Die Schadsoftware Emotet wütet bereits seit über einem Jahr durch das Internet sowie die Netzwerke und Computer der Geschädigten. So hat es aktuell in Hannover z.B. bereits zwei Unternehmen* getroffen.

Die Schadsoftware geht dabei in letzter Zeit oft immer den gleichen Weg:

Es wird zunächst ein Rechner im Netzwerk infiziert. Dies geschieht in der Regel durch eine eingehende Mail, die eine Worddatei enthält. Die Mail kann z.B. von einem scheinbar bekannten Gesprächspartner stammen, mit dem man bereits mehrfach kommuniziert hat. Der Mailtext selbst kann dabei auch vorherige Mails enthalten, so dass man von einer Weiterführung der zuvor geführten Kommunikation ausgeht und somit möglicherweise das beigefügte Dokument öffnet. In der Regel wurde eine Word-Datei angehängt, die durch einem schlichten Satz begleitet wird. Verantwortlich für diesen Vorgang ist ein Bot, der auf dem fremden Rechner durch Emotet platziert wurde.

Öffnet nun der Empfänger im Vertrauen darauf, dass es eine seriöse Mail sei, so ist die erste Hürde der Schadsoftware genommen. Die Worddatei versucht nun die Schadsoftware auf das fremde System nachzuladen. Hierfür wird noch einmal die Hilfe des Mailempfängers benötigt. Dieser muss die gewünschten Macro-Funktionen in der Office-Anwendung freigeben. Wird dies erlaubt, kann die Schadsoftware benötigte Elemente aus dem Netz nachladen, somit nächste System befallen und das „Spiel“ weiterführen.

Typische Sätze/Wörter in den Mails sind (mehrsprachig möglich):

In der Anlage das SEPA Formular und die neue Rechnungsanschrift
RechnungsDetails_12_08_2020_…..doc
Gmbh_2020_08.doc
Alle Angaben entnehmen Sie bitte dem angehängten angeforderten Dokument.
Eine Dokumentation befindet sich im Anhang.
Anbei erhalten Sie Ihre angeforderten Informationen für Ihre Unterlagen.
im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.
Your statement is attached. Please remit payment at your earliest convenience.
Please remit payment at your earliest convenience.
Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.

Einige Beispiele (die Mails wurden von uns anonymisiert):

 

Was sind die Folgen von Emotet?

Neben der harmlos klingenden Mailverbreitung sind weitere Gefahren im Hintergrund der Schadsoftware denkbar. Die befallenen Rechner können für die Verbreitung von Spam und weiterer Schadsoftware verantwortlich sein. Zudem können Daten ausspioniert werden. Dies können Adressdaten sein (u.a. für personalisierten Spam, Phishing usw.). Auch der Zugriff auf noch sensiblere Daten (z.B. Kundendaten, Patientendaten usw.) ist denkbar. Ein weiteres schlimmes Szenario ist die Verschlüsselung der vorgefundenen Daten auf dem Rechner/im Netzwerk. Eine Erpressung ist dann oft die Folge, in der die Entschlüsselung nach Zahlung einer oft sehr hohen Summe (gern anonym in Bitcoins) versprochen wird.

Die typischen Gefahren der Ransomware beschreiben wir hier.

Diese Erpressungen sollten jedoch nicht mit den gefälschten und ebenfalls massenhaft in Umlauf befindlichen Erpressungen dieser Art verwechselt werden, wo die Täter behaupten, sie sie hätten den Rechner übernommen.

Bereits im Mai 2019 warnten wir hier vor dieser Gefahr. Nun verbreitet sich die Schadsoftware erneut.

Wichtig ist, dass Unternehmen die Mitarbeiter auf diese Gefahr hinweisen und für diese Masche sensibilisieren.

Besonders der Empfang von Mails sollte genau beachtet werden. Verlassen Sie sich nicht auf einzelne (möglicherweise gefälschte) Punkte, sondern beachten Sie die Gesamtheit! Diese Hinweise gelten auch für die interne Kommunikation per Mail!

  • Kenn ich den Versender?
  • Ist die Absender-Adresse vollständig richtig? Ungewöhnliche Domain-Endung?
  • Erwarte ich von diesem Absender eine entsprechende Mail?
  • Habe ich bereits eine Mail (z.B. echte Antwort) schon vorher erhalten und nun eine neue Mail mit einer vollkommen anderen (gefälschten) Antwort?
  • Ist die Art und Weise (Schreibweise, Inhalt, Wortwahl, Ansprache, Signatur…) der Mail typisch?
  • Passt der zeitliche Zusammenhang oder scheint die Mail bereits älter zu sein?
  • Werde ich durch einen schlichten Satz oder lediglich durch ein Wort auf den Anhang hingewiesen?
  • Muss ich für das Öffnen der Datei Macros/Makros akzeptieren?

Macros/Makros in z.B. Word-Dateien sind automatisierte und zusammengefasste Programmabfolgen/Abfolgen von Anweisungen, die den Umgang mit z.B. ständig wiederkehrenden Befehlen vereinfachen sollen. So können z.B. in den Dokumenten Dateien nachgeladen oder bestimmte Felder automatisch ausgefüllt werden. Bleibt die Makrofunktion deaktiviert, erfolgen auch nicht die Automatismen. Besonders in den gefährlichen Mailanhängen fordert die Word-Datei den Nutzer auf, Makros zu aktivieren, wenn dies nicht bereits geschehen ist. Auch die Nutzung anderer Office-Systeme kann zu einer Fehlermeldung und dem Hinweis führen, Microsoft Office zu nutzen.

Ein Schlicht-Anwender, der lediglich Office mal für einen Brief nutzt, benötigt die Makro-Funktion in der Regel nicht und sollte dies auch deaktiviert lassen!

  • Klären Sie in Ihrem Betrieb ab, ob Makros in der Dokumenten-Verwaltung genutzt werden.
  • Prüfen Sie eingehende Mails auf Schadsoftware.
  • Sollten Sie geringste Zweifel an der Echtheit der Mail haben, klären Sie dies z.B. durch telefonische Nachfrage beim Absender!
  • Öffnen Sie nicht unüberlegt und ungeprüft Anhänge.
  • Ggf. muss der Versand/Empfang solcher Mails mit Anhängen im System unterbunden werden.

Weiterhin ist es empfehlenswert, auf der eigenen Webseite potenzielle Kunden vor der Gefahr zu warnen, wenn die Infektion bekannt geworden ist. Ggf. kann es auch hilfreich sein, seinen Kundenstamm über die Gefahr direkt zu informieren! Beachten Sie dabei datenschutzrechtliche Vorgaben!

Zudem raten wir zu einer Anzeigenerstattung bei der Polizei. Ggf. ist es ratsam, die zuständige ZAC (Zentrale Ansprechstelle Cybercrime für Wirtschaftsunternehmen) zu informieren. Die ZAC des LKA Niedersachsen finden Sie hier. Weitere Maßnahmen sollten Sie mit der Polizei absprechen!

Sollten Sie bereits durch die Schadsoftware betroffen sein, so trennen Sie den befallenen Rechner unverzüglich vom Netzwerk. Informieren Sie Ihre IT-Verantwortlichen unverzüglich, um eine umfassende Untersuchung/Reinigung der im Netz befindlichen Geräte zu starten.

Ggf. müssen Systeme neu aufgesetzt und Backups eingespielt werden.

Achten Sie in diesem Zusammenhang auch immer auf eine gut gesicherte IT in Ihrem Unternehmen und die Schulung Ihrer Mitarbeiter!

 

*) zu den nicht namentlich genannten Unternehmen, dem Ausmaß der Infektion und der Schäden können wir keine Angaben machen.

Scroll to top