Emotet – Trojaner wieder aktiv
In diesem Artikel:
- Emotet auf Linux erweitert
- Angriffe auf Unternehmen haben sich vervierfacht
- Emotet wieder aktiv
- Kleine Firmen durch strategische Angriffe, wie Emotet, betroffen
08/2020 Emotet auf Linux erweitert
Emotet und Trickbot
Die Malware, die Emotet herunterlädt, sobald ein Angriff erfolgreich war, heißt Trickbot. Emotet selbst ist darauf ausgerichtet den Sprung in ein Netzwerk zu schaffen. Trickbot dagegen ist darauf ausgerichtet die Netze dann schrittweise zu übernehmen.
Trickbot und Anchor_DNS
Wie nun berichtet wurde, ist diese Software erweitert worden auf Linux-Systeme. Genauer gesagt betrifft das eines der Möglichkeiten, die Trickbot verwendet, um zu kommunizieren. Dafür verwendet Trickbot Anchor_DNS. Damit ist es möglich über DNS mit den Kontrollservern von Emotet zu kommunizieren. Das bedeutet, der infizierte Rechner verbindet sich nicht direkt, weil das von internen Systemen vielleicht entdeckt und unterbunden wird. Stattdessen werden DNS-Aufrufe verwendet.
Linux-Systeme können Windows infizieren
Die Erweiterung auf Linux-Systeme hat das Problem, dass man nach einer Infektion nicht nur alle Windows-Systeme bereinigen bzw. neu installieren muss, sondern auch alle Linux-Systeme im internen Netzwerk. Auch ist es möglich über das Linux-System wieder Windows-Systeme zu infizieren.
vorher und nicht nachher handeln
Wenn Emotet ein Netzwerk übernommen hat, ist es bereits zu spät. Hat mein vorher keine Maßnahmen getroffen, die für solch einen Fall vorsorgen, gibt es meist keine Möglichkeit mehr das System zu retten. Das belegen zahlreiche Beispiele wie beispielsweise der Angriff auf das Kammergericht in Berlin.
Einen 100%igen Schutz kann niemand bieten. Wenn man aber über die Angriffe informiert ist, die Absichten und Infektionswege kennt, kann man einiges vorsorgen. Im Rahmen unseres IT-Service beraten Sie gerne, ob es in Ihrem IT-System Maßnahmen zur Absicherung erforderlich sind.
10/2019 Angriffe auf Unternehmen haben sich vervierfacht
Laut dem aktuellen CTNT Report von Malwarebytes vom August 2019 haben sich Angriffe auf Unternehmen vervierfacht. Wie schon früher berichtet, ist die Gefahr für kleine und mittelständische Unternehmen deutlich gestiegen.
Gerade durch die aktuelle Gefahr durch Emotet sind neue bzw. andere Gegenmaßnahmen notwendig. Wir sind gerade dabei diese im Rahmen des Teilgebiets der Datensicherheit bei unseren Betreuungen zu etablieren.
10/22019 Emotet wieder aktiv
Zwischendurch gab es Hoffnung, da solche Angriffe mit Emotet aufgehört hatten. Gründe dafür könnte man viele nennen, wie zum Beispiel, dass die Kriminellen gefasst oder genug Geld erbeutet haben. Aber leider ist dem nicht so.
Wie stellt man soetwas fest?
Wenn der Trojaner auf einem Rechner ausgeführt wird, muss er von den Command & Control Servern den eigentlichen Schadcode herunterladen. Genau diese Server waren aber aus unbekannten Gründen plötzlich abgeschaltet.
Nun meldet aber das CERT-Bund, dass die Command & Control Server von Emotet wieder aktiv sind. Die Sommerpause ist sozusagen vorbei. Das bedeutet, die Angriffe werden jetzt wohl fortgesetzt werden.
06/2019 Kleine Firmen durch strategische Angriffe, wie Emotet, betroffen
Emotet ist nicht nur ein weiterer Krypto-Trojaner, was derzeit manchmal fälschlicherweise angenommen wird. Durch den Angriff auf Teile des Heise Verlags und deren Veröffentlichung ist deutlich geworden, dass nun auch kleine Firmen mit strategisch durchgeführten Angriffen rechnen müssen. Anders ausgedrückt: solche strategischen Angriffe galten früher nur großen Institutionen, wie bspw dem Hack des Bundestag, jetzt wurden sie anscheinend auf kleine Firmen mit dem Ziel einer Lösegelderpressung ausgeweitet. Emotet ist dabei nur der erste Schritt ins System.
Der Angriff hat gezeigt, dass die Aufklärung von Benutzern hier an seine Grenzen geraten ist. Der Angriff funktioniert so, dass die Hacker Zugriff auf ein Postfach haben. Dann wird ganz gezielt in eine Unterhaltung eingegriffen. Wenn dann der Empfänger eine Email erhält mit einem Anhang über ein Thema, was kurz vorher genau so besprochen wurde, fällt in der Hektik des Alltags früher oder später jeder darauf rein und öffnet den Anhang. Das ist auch durch gute Aufklärung nicht mehr zu verhindern, daher ist nun die Administration gefragt die Sicherheit entsprechend zu verbessern.
Es geht also nicht mehr nur darum den Krypto-Trojaner abzuwehren, sondern es wird ein mehrstufiges Sicherheitskonzept benötigt, dass das Vordringen der Angreifer im Netzwerk erschwert. Darüber hinaus ist es nicht mehr nur nötig eine Datensicherung zu haben, sondern diese darf künftig vom IT-System nicht mehr zugreifbar sein.
Ein produktiv verwendetes IT-System lässt sich ohne Einschränkungen nicht derart schnell umbauen und es sind noch nicht alle Details zu dem Angriff bekannt. Die Änderungen werden einige Zeit benötigen und müssen auch auf das jeweilige System angepasst werden. Als Sofortmaßnahme empfehlen wir eine zunächst einmalige Datensicherung auf beispielsweise eine USB-Festplatte, die danach vom System getrennt und sicher verwahrt wird. Damit sind die Daten der Systeme erstmal sicher vor dem Löschen geschützt und man hat Zeit für die Umsetzung des Sicherheitskonzepts.
Wir sind gerade dabei die erforderlichen Maßnahmen bei allen unseren IT-Betreuungen zu ergreifen, damit deren Daten sicher sind. Falls auch Sie unseren IT-Service in Anspruch nehmen möchten: wir haben derzeit wieder Kapazitäten frei und suchen auch noch weitere Mitarbeiter.