[English]Eine Infektion mit der Schadsoftware Emotet kann ein ganzes Unternehmensnetzwerk ausbremsen, weil die CPUs von Windows-Geräten maximal ausgelastet werden und so den Netzwerkverkehr nahezu zum Erliegen bringen.
Anzeige
Microsoft hat diesen Fall wohl öffentlich gemacht. Nachdem ein Mitarbeiter dazu gebracht wurde, einen Phishing-E-Mail-Anhang zu öffnen, entfaltete Emotet seine Wirkung. Durch die Emotet-Infektion wurde das gesamte Netzwerk eines Unternehmens beeinträchtigt. Der Schädling lastete die CPUs der Windows-System maximal aus, so dass die Internetverbindung nur noch einen geringen Datendurchsatz erreichte.
Microsoft: Emotet Took Down a Network by Overheating All Computers – by @sergheihttps://t.co/1cPHPNfi3e
— BleepingComputer (@BleepinComputer) April 3, 2020
Ich bin über den obigen Beitrag von Bleeping Computer auf den Fall aufmerksam geworden, den Microsoft in diesem Dokument offen legt.
Ein Fall aus der Praxis
Microsoft benennt die Firma, die Opfer einer Emotet-Infektion wurde, in seiner Fallstudie mit dem fiktiven Namen Fabrikam. Nachdem ein Mitarbeiter dazu gebracht wurde, einen Phishing-E-Mail-Anhang zu öffnen, begann die Malware Routinen fünf Tage nach der ersten Infiltration die eigentliche Malware vom Command-and-Control-Server (C&C) des Angreifers herunterzuladen.
Verzögerung von 5 Tagen, Zugangsdaten erbeutet
Zuvor nutzten die Angreifer die gestohlenen Zugangsdaten, um Phishing-E-Mails an andere Fabrikam-Angestellte sowie an ihre externen Kontakte zu senden. In Folge wurden immer mehr Systeme infiziert und es konnten zusätzliche Malware-Nutzlasten heruntergeladen und auf den Rechnern installiert werden.
Die Malware verbreitete sich dann über das gesamte Netzwerk, ohne dass es bemerkt wurde. Der Emotet-Trojaner erbeutete Anmeldeinformationen für die Administratorkonten, mit denen sich Administratoren auf neuen Systemen authentifizierten. Diese Anmeldeinformationen wurden später für die Infektion anderer Systeme verwendet.
Nach 8 Tagen ging nichts mehr
Innerhalb von acht Tagen seit dem Öffnen des ersten Malware-Anhangs wurde das gesamte Netzwerk von Fabrikam, trotz der Bemühungen der IT-Abteilung, in die Knie gezwungen. Die Windows-Systemen stürzten mit Blue Screens ab, weil die CPUs überhitzen. Dadurch blieben die System entweder stehen oder wurden neu gestartet. Die Internetverbindungen wurden, weil Emotet die gesamte Bandbreite belegte, quasi auf Null Durchsatz gedrosselt.
Als die letzte Maschine mit einem Blue Screen in die Knie ging, wurde den IT-Leuten bewusst, dass die Infektion außer Kontrolle geraten war, schreibt Microsoft in diesem Dokument. Es scheint, dass es sich bei dem Fall um den von ZDNet beschriebenen Angriff auf die US-Stadt Allentown, Pennsylvania, handelt. Dieser Fall wurde im Februar 2018 bekannt.
Anzeige
Der Bürgermeister, Ed Pawlowski, gab an, dass die Stadt fast 1 Million Dollar an Microsoft zahlen müsse, um ihre Systeme von der Infektion zu säubern. Zuerst hat die Stadt 185.000 Dollar gezahlt, um die Ransomware einzudämmen. Hinzu kommen zusätzliche Kosten in Höhe von von bis zu 900.000 Dollar, für die Wiederherstellung der Systeme. Weitere Details sind in den verlinkten Artikeln nachzulesen.
2015
Es ist zwar nicht so gut das Interne E-Mails von der Sicherheitssoftware nicht geprüft werden und sich der Schädling ungehindert ausbreiten kann.
Das aber PCs abstürzten weil die CPU über einen längeren Zeitraum stark belastet wird sollte nicht passieren.
Solang Motherboard, VRMs, Netzteil, CPU Kühlung und Gehäusekühlung richtig dimensioniert sind muss der PC dauerhaft Vollast aushalten ohne abzustürzen.
Prime 95 + Furmark zum Beispiel. Mein eigener PC musste diese Tests auch 48 Stunden ohne Fehlermeldungen ausführen bevor ich die Konfiguration als Stabil angesehen habe. Die Temperaturen sind in diesem Zeitraum in einem annehmbaren Bereich geblieben.
Ich weiß. Es kostet zwar viel Stromgeld schützt aber später vor Frustration. Es macht auch im Nachgang die Fehlersuche einfacher da Hardwareprobleme weitestgehend ausgeschlossen werden können.