Wir nutzen matomo zur anonymisierten Reichweitenerfassung. Mehr Informationen, sowie eine Option zum Opt-out, erhalten Sie in unserer Datenschutzerklärung.

magBLOG

Emotet Trojaner erkennen & Risiken minimieren

Emotet ist nun wirklich keine Neuigkeit. Das erste Auftreten dieser Schadsoftware-Familie datiert zurück auf das Jahr 2014. Neben der Gefährlichkeit der verwendeten Module zur Infektion von IT-Systemen zeichnet sich Emotet vor allem durch die Authentizität in der Benutzerinteraktion aus, welche – leider – sehr professionell ist. Seit Mitte Juli kommt sie wieder verstärkt zum Einsatz. Email-Trojaner stellen weiterhin einen der aktuell gefährlichsten Infektionswege dar. Anfang August war der „Klick mich“-Effekt oft in Verbindung mit den Stichwörtern „Covid19“, „Corona-Update“ und „Covid-19 Guideline for Office“ präsent.

Aktuell sind Angreifer-Gruppierungen dabei, die Warnmeldungen vor der Ausführung von Makros in Email‑Anhängen möglichst sicher erscheinen lassen. Derzeit werden ca. 200.000 Emails pro Tag mit dieser Malware gesichtet, verfasst in über 20 Sprachen inklusive Deutsch:

Ein verdächtigter E-Mail-Anhang mit einem Word-Dokument deutet auf einen Emotet Trojaner hin

Zwei weitere Beispiele verdeutlichen die aktuellen modifizierten Makro-Warnungen von Emotet Trojanern:

Veränderte Makro-Viren-Warnung eines Emotet Trojaners behauptet das Dokument sei geschützt

Die modifizierte Warnmeldung versteckt die eigentliche Aktion hinter einer scheinbar ungefährlichen Information

Auf diese „entschärften Warnmeldungen“ wird sicherlich eine erhebliche Zahl an IT-Anwendern reinfallen. Spätestens bei der Aktivierung der Makros nimmt das Unheil seinen Lauf.

Der beste Schutz vor Emotet Trojanern: Aufklären & Vorbeugen

Neben technischen Maßnahmen ist die wichtigste Verteidigungslinie gegen Makroviren der Anwender. Bevor eine Mail aus vermeintlich sicherer Quelle mit Anhängen geöffnet wird, muss sich der IT-Nutzer folgende Fragen stellen:

  • Erwarte ich eine Email mit Anhang von diesem Kontakt?
  • Steht die Email im richtigen Kontext meiner beruflichen Beziehung zum Absender?
  • Entspricht Schreibweise und Wortwahl der bisherigen Kommunikation?
  • Deutet das Dateiformat im Anhang auf einen Email-Trojaner?
  • Gibt die verwendete Software (Email-Client, Office-Programm) eine Warnmeldung aus (externer Absender, potentiell schädlicher Inhalt, Makro-Hinweis)?

Das Anprangern des Anwenders in der überwiegenden Zahl der Fälle ist wenig zielführend. Eine hohe Arbeitsdichte in Verbindung mit der professionellen Gestaltung der Malware-Kampagnen machen es selbst für erfahrene und sicherheitsbewusste Anwender schwer, Emotet zu erkennen. Deswegen sollten Unternehmen weiterhin den präventiven Schutz ihrer Emailsysteme im Auge behalten und folgende Maßnahmen berücksichtigen:

  • Einsatz von Sandbox-Analysen für Emails (zum Beispiel verfügbar in FERNAO secure mail)
  • Deaktivierung der Makro-Funktionalität in MS Office Programmen
  • Aktuell gepatchte Systeme und AV/EDR-Schutzfunktionen auf den Endpunkten

Wenn trotz aktueller präventiver Maßnahmen eine Mail auch nur den geringsten Zweifel an der Authentizität aufkommen lässt, gilt „Klick mich bloß nicht an!“ und der Anwender sollte sich an die Sicherheitsorganisation seines Unternehmens wenden.

Kritikalität: Emotet entfernen ist kompliziert

Alles mit Emotet in Verbindung stehende muss unserer Einschätzung nach mit der höchsten Kritikalitätsstufe behandelt werden. Einmal betroffene Systeme mit dem Emotet-Baukasten müssen umgehend vom Netz genommen und über forensische Untersuchungen sollte eine eventuelle Verbreitung im Netz ausgeschlossen werden.

Autor: Dr. Ralf Stodt
Head of Security Operations
magellan netzwerke GmbH

 

News

Das FERNAO-Netzwerk

Durch den Zusammenschluss der Unternehmen profitieren Kunden von ganzheitlichen IT-Lösungen aus einer Hand – professionell und spezialisiert auf Ihre Projekte abgestimmt.

Folgen Sie uns:
facebook twitter youtube linkedin xing instagram