Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen

Das LKA-Niedersachsen warnt vor einer Malware-Welle, die auf deutsche Firmen zielt und diese über Varianten des Emotet-Trojaner ausspioniert bzw. schädigt. Hier einige Informationen, was man wissen sollte.


Anzeige

Der Emotet-Trojaner

Der Emotet-Trojaner ist nichts neues, Symantec hat im Sommer 2018 den Beitrag hier zu diesem Schädling veröffentlicht. Die Gruppe hinter dem Trojaner ist seit mindestens 2014 aktiv und hatte sich bisher auf Bankkunden fokussiert. Nun scheint es aber einen Strategiewechsel gegeben zu haben, indem man Infrastruktur und Firmen in Europa angreift.

Kritisch ist vor allem die Komponente von Emotet, die eine Ausbreitung in Firmennetzwerken ermöglicht. Das stellt für Firmen eine besondere Herausforderung dar. Generell lässt sich in letzter Zeit eine Renaissance von Schadsoftware mit Wurm-Komponenten zu deren Verbreitung ausmachen. Ransomware wie WannaCry (Ransom.Wannacry) und Petya/NotPetya (Ransom.Petya) sind bekannte Beispiele.

Die Ausbreitung über Netzwerke bedeutet auch, dass Opfer infiziert werden können, ohne jemals auf einen bösartigen Link zu klicken oder einen bösartigen Anhang herunterzuladen. Einmal auf einem Computer gelandet, lädt Emotet ein Spreadermodul herunter und führt es aus. Das Modul enthält eine Passwortliste, mit der es versucht, den Zugriff auf andere Computer im selben Netzwerk zu erhalten, schreibt Symantec. Microsoft hat hier einen Artikel zu diesem Schädling veröffentlicht, wobei der Windows Defender einige Varianten erkennt.

Warnung des LKA-Niedersachsen

In dem heute veröffentlichten Dokument Schadsoftware "Emotet" verbreitet sich weiter und zwar massiv! geht das Landeskriminalamt (LKA) Niedersachsen in die Offensive. Im November 2018 gab es bereits eine Warnung des LKA, dass sich die Malware "Emotet" massiv über E-Mailanhänge verbreitet.

Das Problem: Emotet liest die Adressbücher und wertet die E-Mail-Kommunikation der Opfer aus. So kann die Malware sich an weitere E-Mail-Adressen potentieller Opfer versenden. Diese bekommen dann eine E-Mail von einem vermeintlich bekannten Absender.

Emotet-Mail-Variante

Die Texte der Mail variieren, sind teilweise in deutscher Sprache gehalten und sollen den Empfänger zum Öffnen des Anhangs bewegen. Der obige Screenshot zeigt eine aktuellere Version der Mail, die vom LKA als Beispiel veröffentlicht wurde. Der Anhang ist eine Word .doc-Datei. Falls Makro-Sperren gesetzt sind, versucht der Schädling das Opfer zum Öffnen des Anhangs zu bewegen.

Emotet-Meldung in Office


Anzeige

Öffnet der Empfänger den verseuchten Anhang, springt der Schädling auf das nächste System. Die aktuelle Version von Emotet besitzt darüber hinaus die Eigenschaft, sich über die Windows-Schwachstelle Eternal Blue per Wurmkomponente in Firmennetzwerken lateral zu verbreiten. Offenbar gibt es immer noch Firmennetzwerke, wo die EternalBlue-Schwachstelle ungepacht ist.

Der Patch gegen EternalBlue wurde von Microsoft am 14. März 2017 veröffentlicht und im Oktober 2017 aktualisiert (siehe Sicherheitsupdate für Microsoft Windows SMB-Server (4013389)).

Das LKA-Dokument enthält noch einige Hinweise zur Erkennung von Emotet-Infektionen. Zudem hat heise.de einen umfangreichen Artikel zum Thema veröffentlicht. Laut heise.de legt der Trojaner aktuell in Deutschland ganze Firmen lahm. "Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden" erklärt BSI-Präsident Arne Schönbohm gegenüber heise.de die neuartige Qualität der Angriffe. Er sieht konkrete Vorbilder für die neuen Cybercrime-Aktivitäten, nämlich Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion. Da kommt mein nachfolgender Artikel zur AD-Härtung gegen NotPetya & Co. wohl gerade richtig.

Prüfung, ob Windows gegen EternalBlue gepatcht ist

Wer auf die Schnelle überprüfen möchte, ob sein Windows-System gegen die EternalBlue-Schwachstelle gepatcht ist, kann den EternalBlue Vulnerability Checker von ESET herunterladen und unter Windows ausführen (siehe auch EternalBlue Vulnerability Checker). In einem Fenster der Eingabeaufforderung erhält man dann Informationen, ob das System gepatcht ist.

Ähnliche Artikel
Windows AD-Option hilft gegen NotPetya & Co.
Neues zu Petya: Zahl der Infektionen, Ziele und mehr …
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
WannaCry: Die Gefahr ist noch nicht gebannt
WannaCry hat bei Chiphersteller TSMC zugeschlagen …
NSA-Exploits für alle Windows-Versionen angepasst
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor

Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck
Warnung vor Banking-Trojaner Win32/Emotet.C


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen

  1. Lothar sagt:

    Emotet hat vor paar Tagen das komplette Kreiskrankenhaus Fürstenfeldbruck außer Betrieb gesetzt.

    https://www.sueddeutsche.de/muenchen/fuerstenfeldbruck/computer-virus-besonders-boesartig-1.4214578

    • Günter Born sagt:

      Danke, ich hatte es vermutet, aber keine Bestätigung. Die Süddeutsche benennt den Schädling nicht – aber in meinem eigenen Beitrag – ich habe es inzwischen am Artikelende verlinkt, ist Emotet noch als 'Banking-Trojaner' in Vermutung.

    • Ingo sagt:

      War das wirklich Emotet? Die schreiben dort von "besonders bösartig" und "ungewöhnlich". Eigentlich ist die Emotet Familie nun beides nicht wirklich. Man nutzt die üblichen Wege über Makros in Office Dokumenten, die Malware nachladen, was also noch Nutzer-Interaktion notwendig macht. Und dann findet eine Verbreitung über Lücken im System statt, die seit über einem Jahr gepatcht sein sollten.

      Bei einem kleinen Handwerker würde ich es ja verstehen, wenn solch eine Malware ein nicht gepflegtes System ohne weiteren Schutz zerlegt.

      Dass es aber in einem Kreiskrankenhaus möglich ist, Anhänge einfach so zu öffnen und kein vorheriger Check stattfindet, ist schon unverständlich. Dass offenbar die SMB Sicherheitsupdates aus 2017 ebenfalls fehlten ist noch eine Stufe seltsamer.

  2. mike sagt:

    Keine seriöse Firma verschickt Rechnungen im doc-Format. Wer als email-Empfänger, sei es privat oder in der Firma, sowas einfach anklickt dem ist nicht zu helfen.

  3. oli sagt:

    Kunde von uns (ein einfacher Verein) war 1 Klick vom "Untergang" entfernt :F. Die gute Dame hatte schon die doc-Datei geöffnet, aber die geschützte Ansicht von Word aktiviert gelassen ("Bearbeitung aktivieren" hatte sie nicht angeklickt), da es ihr doch komisch vorkam. Naja, glückerlicherweise konnte ich vor einiger Zeit regelmäßige Image-Sicherungen der Systeme durchsetzen, wobei die Sicherungsdateien nur für ein bestimmtes Konto zugänglich sind. Problematisch wären dann aber immer noch eventuelle Informationsabflüsse gewesen.

  4. IT-Nerd sagt:

    Zur Abrundung des Themas vielleicht noch der Hinweis dass dieser "ESET-Checker" lediglich das Vorhandensein von "srv.sys" auf dem System (==> altes SMBv1-Protokoll = Windows 8.1 sowie ältere BS) und nicht etwa nach "srv2.sys" (Windows 10, v1809/1903) überprüft.

    CVE-2017-0144 wurde seinerzeit von MS als "Critical" eingestuft -wer bis heute auf seinen Maschinen Client-/Serverseitig die SMB 1.0 Dateifreigabe nicht gepatcht/deaktiviert hat dem ist meinen Augen nach nicht zu helfen..

  5. Hallo Herr Born, vielleicht haben Sie Lust, sich mit ein paar moderneren Whitelistinglösungen zu befassen? S. Diskussion hier:
    https://www.heise.de/forum/heise-Security/News-Kommentare/Achtung-Dynamit-Phishing-Gefaehrliche-Trojaner-Welle-legt-ganze-Firmen-lahm/Whitelistingsoftware-wuerde-helfen-ct-bitte-testen/posting-33544961/show/
    Mit freundlichen Grüßen und hoffe, daß Sie die Folgen Ihres Unfalls überwunden haben mögen,
    M. L.

  6. Herr IngoW sagt:

    Jo die oben abgebildete Mail ist bei meiner Frau in der Firma (im medizinischen Bereich unterwegs) gestern auch aufgeschlagen, hat sie dann zur IT weitergeleitet und gelöscht.
    Bleibt zu hoffen das die anderen es genau so machen.

    • Günter Born sagt:

      Danke für die Info – ist ja der Hintergrund, warum ich mir die Mühe mache, und den Text zu solchen Themen einklopfe – manchmal lesen die Leute so was vorher und leiten die Info auch weiter. Wenn jemand gebrieft ist, sinkt die Gefahr, dass er auf solche Phishing-Mails herein fällt. Stelle ich im persönlichen Umfeld immer wieder fest (u.a. in Bezug auf Betrugsanrufe im angeblichen Auftrag von Microsoft).

  7. Christian sagt:

    Hat ja lange gedauert diese Warnung, diese Welle rollt schon seit dem 05.11.2018 durchs Internet und passt sich regelmäßig an was die Betreffs angeht. Habe hier in den letzten 4 Wochen an die 900 Mails mit dem Mist rausgefischt.

    Neben den üblichen "Rechnungen" und "Sie haben eine Zahlung erhalten" waren es auch Amazon Mails mit Gutscheinen zum Cyber Monday und nun Paypal & IRS, wobei IRS für Deutschland recht unpassend ist.

    Man sollte sich auch nicht darauf verlassen das man ein Word Dokument im Anhang hat, ich sehe ganz klar das hier variert wird zwischen Anhang und Links um das Filtern von .doc über die Links auszuhebeln.

  8. Lothar sagt:

    Inzwischen hat's auch Kraus-Maffei erwischt!

  9. ralf sagt:

    HEISE:
    "Es gab einen schwerwiegenden Einbruch in das Heise-Netz; Auslöser war eine Emotet-Infektion… Von dem Vorfall betroffen waren und sind die Heise Gruppe und der Verlag Heinz Heise, also Mutter- und Schwester-Unternehmen der Heise Medien".

    https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html

  10. Olaf sagt:

    Eine kurze Zeit war es ruhig bei Emotet, weil deren Server nicht mehr aktiv waren. Inzwischen wurde aber vom CERT-Bund gemeldet, dass die Server wieder aktiv sind: https://www.rebeit.de/it-news/emotet-wieder-aktiv/

    Seitdem haben die Angriffe wieder stark zugenommen, daher hat das BSI inzwischen eine eigene Webseite zur Aufklärung geschaltet: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html

    Aber auch insgesamt haben die Ransomware-Angriffe auf Unternehmen stark zugenommen, was eine Analyse von Malwarebytes zeigt: https://www.heise.de/security/meldung/Bericht-Ransomware-Angriffe-auf-Firmen-fast-vervierfacht-4492497.html

    Emotet ist daher weiterhin ein großes Problem.

Schreibe einen Kommentar zu Christian Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.