Emotet-Infektion an Medizinischer Hochschule Hannover

Publiziert am 27. September 2019 von Günter Born

Die Medizinische Hochschule Hannover ist laut Medienberichten Opfer einer Infektion mit der Ransomware Emotet geworden. Hier einige Informationen zu diesem neuen Fall.

Anzeige

Erste Berichte zur Infektion kamen mit über die aus der in Hannover angesiedelten heise-Redaktion, die das Ganze im Newsticker aufgriff (ist als Kommentar hier thematisiert und Blog-Leser Rudi hatte mich auch per E-Mail auf das Thema hingewiesen) unter die Augen. Auch der NDR hat diesen Beitrag, basierend auf einem Artikel der Hannoversche Allgemeine Zeitung (HAZ) (Paywall), veröffentlicht.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Die Emotet-Infektion des Netzwerks der Medizinische Hochschule Hannover (MHH) erfolgte bereits am Montag. Betroffen sind wohl aktuell 170 Geräte, die im Bereich der MHH verwendet werden, und laut Klinikleitung, so heise, 'unter Quarantäne gestellt wurden'. Seit letzten Mittwoch habe es keine Neuinfektionen mehr gegeben.

Allerdings sucht Emotet auch Adressbücher und verwendet deren E-Mail-Kontaktdaten zur Verbreitung. Die Klinikleitung kann eine weitere Verbreitung, laut Bekundungen nicht ausschließen. Da die Hochschule im medizinischen Bereich aktiv ist, betont ein Sprecher der Klinik gegenüber den oben zitierten Medien, dass Patientendaten nicht betroffen seien.

Emotet ist eine Ransomware, die zunehmend Computernetzwerke befällt und über schadhafte Mail-Anhänge oder Downloads auf infizierten Webseiten verbreitet wird. Die Ransomware verbreitet sich nach der Erstinfektion im Netzwerk und verschlüsselt die gefundenen Datenträger. Anschließend wird Lösegeld erpresst. Das BSI warnte kürzlich vor einer neuen Emotet-Welle (siehe Linkliste am Artikelende) – und der heise-Verlag war im Mai 2019 selbst Opfer dieser Schadsoftware. An dieser Stelle mein Hinweis auf den aktuellen Blog-Beitrag Die IT-Notfallkarte des BSI für KMUs, der Anwender in kleinen und mittleren Unternehmen durch Materialien des BSI unterstützen kann.

Ähnliche Artikel:
BSI warnt vor Ransomware-Angriffen auf Unternehmen
CERT-Bund warnt vor Emotet-Mails
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet Trojaner-Infektion bei Kraus-Maffei
Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen
Warnung vor Banking-Trojaner Win32/Emotet.C
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck
CERT-Bund: Emotet ist zurück, C&C-Server wieder aktiv
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
Die IT-Notfallkarte des BSI für KMUs

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Emotet-Infektion an Medizinischer Hochschule Hannover

  1. i9100 sagt:
    27. September 2019 um 16:27 Uhr

    Beim Heise-Verlag war es ein Word-Dokument:
    https://www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html

    Meine Überlegung:
    1) .docx sind .zip Dateien
    2) Der E-Mailserver muss beim Scan diese Word-Dokumente öffnen wie eine ZIP und Makros aus ihnen löschen.
    3) Im Zweifel Dokumente nach PDF automatisch konvertieren (kann man auch lesen)
    4) Originaldateien mit Makros in Quarantäne

    Datenströme filtern ist auch IT-Sicherheit.
    Im Firmenumfeld nutze ich viele Makros, aber praktisch immer nur in Excel.

    PS: Nicht jeder PC braucht Internet in der Firma. Wenn das Makro die Schadmodule nicht aus dem Internet nachladen kann wäre auch nichts passiert.

    Antworten
  2. Bolko sagt:
    27. September 2019 um 20:23 Uhr

    Emotet-Sperrliste 23.9.2019:
    https://pastebin.com/XdSSm0gH

    Vor jeder Zeile fügt man ein "0.0.0.0 " (ohne Anführungszeichen aber mit einem Space am Ende) ein, was man einfach mit einer Tabellenkalkulation machen kann (Liste in Spalte 2 und die 0.0.0.0 in den ersten beiden Zeilen der Spalte 1, beide Zeilen der Spalte 1 markieren und dann runterziehen.).
    Dann markiert man beide Spalten und kopiert den Text ans Ende der Hosts-Datei (c:\windows\system32\drivers\etc\hosts). Alternativ baut man die Liste in Pi-hole ein. Alternativ zu "0.0.0.0 " geht auch "127.0.0.1 ", das ist aber langsamer. Falls man die Listen in Blokada für Android benutzen möchte, dann muss man "127.0.0.1 " statt "0.0.0.0 " nehmen.

    Emotet kann dann keine Schadroutinen mehr nachladen, weil die Server von der hosts-Liste gesperrt sind.
    Das ist zwar kein 100-prozentiger Schutz, aber eine weitere Verteidigungslinie, die nichts kostet.

    Überhaupt sollte man seine hosts stark erweitern um Werbung, Tracker und Facebook zu blockieren.
    Ein paar Listen gegen Werbung und Tracker gibt es bei
    firebog.net

    Facebook-Sperrliste gibt es da:
    https://qz.com/1234502/how-to-block-facebook-all-the-urls-you-need-to-block-to-actually-stop-using-facebook/

    Antworten
  3. Bediener 1 sagt:
    28. September 2019 um 04:05 Uhr

    Das perfide an Emotet ist die Kombination aus Dynamite – Fishing und Spear – Fishing.
    Das heisst, es kann (über ein reales E – Mail Konto?) eine plausble E – mail mit Anhang verschickt werden. Bei nicht vorliegender Krankenversichertenkarte (verloren, ungültig,
    Chip nicht lesbar etc.) wird das Ersatzverfahren angewandt. Die Krankenkasse stellt eine Ersatzbescheinigung in Papierform aus, aus der die Versichertendaten hervorgehen, die dann manuell in das PVS System eingepflegt werden. Diese kann auch vom Patienten an die Arztpraxis bzw. Krankenhaus per E- Mail mit Anhang zugeschickt werden…
    Weitere Infektionswege sind wohl Dienstekonten, Fernwartungszugänge etc…

    Antworten
  4. Sven Fischer sagt:
    28. September 2019 um 11:04 Uhr

    Krass. Das bei Heise habe ich auch schon gelesen. Die haben da auch gleich ein Web-Seminar dazu aufgelegt.
    https://www.heise-events.de/webinare/emotet
    Es ist nur erstaunlich, das solcher Crap durchrutschen kann. Angefangen beim Einliefern an den Mailserver, dann über den Verteiler und anschließenden Eingang in die Mailbox.

    Gerade beim Heise und anderen Institutionen, sollte man davon ausgehen, das da eine entsprechende Infrastruktur vorhanden ist. Die werden da sicherlich nicht nur ne Speedbox, oder ne Fritze am Start haben, wo dann blank die PCs und Notebooks dran hängen.

    Grüße aus dem Erzgebirge

    Antworten
  5. Bediener 1 sagt:
    29. September 2019 um 21:42 Uhr

    Outlook soll ja in Zukunft 142 aktive Dateianhänge blockieren (Threatpost / Kaspersk; zdnet).
    Da wird der eine oder andere die Vorteile eines analog Fax Gerätes im nachhinein zu schätzen wissen?!
    Sofern man von diesem keine QR – Codes abscannt, dürfte hier die Infektionsgefahr gegen Null tendieren.
    100% sicher ist das auch nicht, aber rechtlich immer noch sicherer als eine E – Mail, deren Zustellung nicht gewährleistet ist, auch im Hinblick auf die Datengrundschutzverordnung, sofern der Standort des Ausdrucks nicht öffentlich ist….
    Im übrigen bleiben ja noch die Einfallstore Firmwarelücken im Drucker bzw. Multifunktionsgerät und in der IP- Telefonie…

    Der digitale Workflow hat da so seine Tücken.

    Und die Mär von der Einsparung durch Digitalisierung…….

    Den sicheren Wahlmaschienen….

    Schöne neue Welt…

    Man muss es auch positiv sehen: Es bleibt nicht langweilig!

    Antworten

Schreibe einen Kommentar zu Bediener 1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.