Datenschutz-Anwalt Berlin – Achtung, Emotet ist zurück!

Vielleicht haben Sie in den Nachrichten von Emotet gehört. Was ist denn das? Der altägyptische König, die Lieblings-Emo-Band deiner jugendlichen Schwester? Leider, nein. Stattdessen gibt es eine schlechte Nachricht für Unternehmen auf der ganzen Welt. Ein berüchtigtes Botnet hat nach einer mehrmonatigen Pause wieder damit begonnen, Spam zu versenden. Emotet schlief seit vier Monaten und begann vor ein paar Tagen wieder mit dem massenhaften versenden von Spam-E-Mails. Die Phishing-E-Mails wurden in den Sprachen Deutsch, Englisch, Italienisch und Polnisch verfasst. Ein merklicher und höchst verdächtiger Aufwärtstrend bei der Command-and-Control (C2)-Serveraktivität alarmierte Sicherheitsforscher vor der neuen Angriffswelle. In dieser neuen Kampagne werden die Benutzer dazu verleitet, ein angehängtes Dokument zu öffnen, mit dem verschiedene Makros aktiviert werden, was wiederum einen PowerShell-Befehl auslöst, der versucht, Emotet von gefährdeten Websites, häufig sind es Seiten die WordPress (WP) ausführen, herunterzuladen.

Datenschutz-Anwalt Berlin: Die Geschichte von Emotet

Der Emotet Banking Trojaner wurde erstmals 2014 von Sicherheitsforschern identifiziert. Emotet wurde ursprünglich als Banken-Malware entwickelt, die versuchte, sich auf Ihren Computer zu schleichen und sensible und private Informationen zu stehlen. In späteren Versionen der Software wurden Spamming und Malware-Delivery-Services hinzugefügt. Emotet verwendet Funktionen, die der Software helfen, die Erkennung durch einige Anti-Malware-Produkte zu umgehen. Emotet verwendet wurmartige Funktionen, um die Verbreitung auf andere verbundene Computer zu unterstützen. Dies hilft bei der Verteilung der Malware.Im Januar 2015 erschien eine neue Version von Emotet auf der Bühne. Version drei enthielt getarnte Modifikationen, um die Malware unter dem Radar zu halten. 2018 - neue Versionen des Emotet Trojaners bieten die Möglichkeit, andere Malware auf infizierten Computern zu installieren. Diese Malware kann andere Trojaner und Ransomware enthalten. Nachdem er die meiste Zeit des Jahres 2019 relativ ruhig war, kam Emotet im September des Jahre stark zurück. Jetzt, da Emotet zum Herunterladen und Bereitstellen anderer Banking-Trojaner verwendet wird, ist die Liste der Ziele möglicherweise noch umfangreicher. Jeder ist ein Ziel für Emotet. Bis heute hat Emotet Einzelpersonen, Unternehmen und Regierungsstellen in den Vereinigten Staaten und Europa getroffen und Banken-Logins, Finanzdaten und sogar Bitcoin-Wallets gestohlen.

Datenschutz-Anwalt Berlin: Die Bedrohung durch Emotet ist immens.

Laut Sicherheitsforschern wurde Emotet Malware allein zwischen Januar und September 2018 über 1,5 Millionen Mal erkannt und entfernt. Im Juli letzten Jahres wurde die Bedrohung so ernst, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sich gezwungen sah, eine Warnung über Emotet und seine Fähigkeiten zu veröffentlichen. Denn er war nun auch in der Lage Inhalte aus E-Mails auszulesen und zu verwenden. Einmal auf dem Rechner installiert, versucht Emotet, sich seitlich zu verbreiten, um unter anderem Passwörter aus installierten Anwendungen zu stehlen. Die vielleicht größte Bedrohung ist jedoch, dass Emotet als Bereitstellungsvektor für gefährlichere Nutzlasten, wie zum Beispiel Ransomware, dient.Datenschutz-Anwalt Berlin: Emotet hat Verbindung nach Nordkorea

Kompromittierte Computer können in einem ruhenden Zustand liegen, bis die Bediener beschließen, den Auftrag an andere kriminelle Gruppen weiterzugeben, die dann versuchen werden, große Geldsummen von ihren Opfern zu erpressen. In der Vergangenheit wurde beobachtet, wie die berüchtigte Ryuk-Ransomware so eingesetzt wurde.In Verbindung mit der nordkoreanischen Lazarus-Gruppe soll Ryuk in den sechs Monaten bis Januar 2019 fast 3,8 Millionen Dollar für seine Betreiber eingebracht haben. Wie Trickbot war auch Emotet ursprünglich ein Banking-Trojaner, der neu geschrieben wurde, um als Malware-Transporter zu fungieren. Seine Betreiber verkaufen den Zugang zum Botnetz an Kunden, die ihn als Malware-Verteilungsnetz nutzen.

Datenschutz-Anwalt Berlin: Das bedrohliches Entwicklungspotenzial von Emotet

Emotet zählt nach wie vor zu den teuersten und zerstörerischsten Malware-Programmen, die Unternehmen, Regierungen von Staaten, Ländern, Kommunen und Gemeinden, sowie Privatanwender betreffen. Seine hochansteckende Natur erschwert es, ihn zu bekämpfen und hat die verschieden Regierungsebenen schon sehr viel gekostet, da seine wurmartigen Eigenschaften zu schnellen, netzwerkweiten Infektionen führen. Emotet ist ein fortschrittlicher, modularer Banking-Trojaner, der in erster Linie als Downloader oder Dropper für andere Banking-Trojaner fungiert. Darüber hinaus ist Emotet polymorph, so dass es sich der typischen signaturbasierten Erkennung entziehen kann. Es gibt mehrere Methoden zur Aufrechterhaltung der Persistenz, einschließlich des automatischen Starts von Registrierungsschlüsseln und -diensten. Der Trojaner verwendet modulare Dynamic Link Libraries (DLL), um seine Fähigkeiten kontinuierlich weiterzuentwickeln und zu aktualisieren. Darüber hinaus ist Emotet mit der Virtual Machine (VM) vertraut und kann falsche Indikatoren erzeugen, wenn es in einer virtuellen Umgebung ausgeführt wird. So verwendet Emotet eine Reihe von Tricks, um zu versuchen, Erkennung und Analyse zu verhindern. Insbesondere weiß Emotet, ob es innerhalb einer virtuellen Maschine (VM) läuft und wird inaktiv bleiben, wenn es eine Sandbox-Umgebung erkennt. Das ist ein Werkzeug, mit dem IT-Sicherheitsforscher Malware in einem sicheren, kontrollierten Raum beobachten und analysieren.

Datenschutz-Anwalt Berlin: Wie verbreitet sich Emotet?

Die primäre Verteilungsmethode für Emotet ist Malspam. Emotet durchsucht Ihre Kontaktliste und sendet sich an Ihre Freunde, Familie, Mitarbeiter und Kunden. Da diese E-Mails von Ihrem kompromittierten E-Mail-Konto kommen, sehen die E-Mails nicht wie Spam aus und die Empfänger fühlen sich sicher, neigen eher dazu, auf enthaltene URLs zu klicken und sich damit infizierte Dateien herunterzuladen. Wenn ein verbundenes Netzwerk vorhanden ist, verbreitet sich Emotet mit einer Liste gängiger Passwörter und errät bei einem Brute-Force-Angriff den Weg zu anderen verbundenen Systemen. Wenn das Passwort für den wichtigen Personalserver einfach "Passwort" ist, dann wird Emotet wahrscheinlich den Weg dorthin finden. Seit Juli 2018 imitieren die jüngsten Kampagnen PayPal-Belege, Lieferavise oder vermeintlich überfällige Rechnungen. Die Erstinfektion erfolgt, wenn ein Benutzer den bösartigen Download-Link, das XML-, PDF- oder makrofähige Microsoft Word-Dokument, das im Malspam enthalten ist, öffnet oder anklickt. Nach dem Herunterladen stellt Emotet Persistenz her und versucht, die lokalen Netzwerke durch integrierte Spreadermodule ebenfalls zu kompromittieren..

Datenschutz-Anwalt Berlin: Fünf bekannte Streumodule für Emotet

NetPass.exe: ein legitimes Dienstprogramm, das alle auf einem System gespeicherten Netzwerkpasswörter für den aktuell angemeldeten Benutzer wiederherstellt. Dieses Tool kann auch Passwörter wiederherstellen, die in der Anmeldeinformationen-Datei von externen Laufwerken gespeichert sind. Outlook-Scraper: Ein Tool, das Daten, Namen, E-Mail-Adressen und E-Mail-Inhalte aus den Outlook-Konten des Opfers nimmt und diese Informationen verwendet, um zusätzliche Phishing-E-Mails von den gefährdeten Konten zu versenden. WebBrowserPassView: ein Tool zur Passwort-Wiederherstellung, das Passwörter erfasst, die in Internet Explorer, Mozilla Firefox, Google Chrome, Safari und Opera gespeichert sind, und sie an das Credential Enumerator-Modul weiterleitet. Mail PassView: ein Tool zur Passwort-Wiederherstellung, das Passwörter und Kontodetails für verschiedene E-Mail-Clients wie Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo Mail und Google Mail erkennt und ebenfalls an das Credential Enumerator-Modul weiterleitet. Credential Enumerator: eine selbstentpackende RAR-Datei, die zwei Komponenten, einen Bypass und eine Servicekomponente enthält.

Datenschutz-Anwalt Berlin: Wie nistet sich Emotet dauerhaft ein?

Um die Persistenz zu erhalten, injiziert Emotet Code in explorer.exe und andere laufende Prozesse. Der Trojaner kann auch sensible Informationen wie Systemname, Standort und Betriebssystemversion erfassen und an einen Remote Command and Control Server (C2) senden. Der C2 ist ein kompromittierter Webserver, der üblicherweise Nginx hostet, und die Verbindung erfolgt über einen gemeinsamen Webport zu einer URL, die die IP-Adresse enthält. Sobald Emotet die Verbindung mit dem C2 hergestellt hat, meldet es eine neue Infektion, empfängt Konfigurationsdaten, lädt und führt Dateien aus, empfängt Anweisungen und lädt kodierte Daten auf den C2-Server hoch. Emotet-Objekte befinden sich typischerweise in beliebigen Pfaden und imitieren Namen bekannter ausführbarer Dateien. Die Persistenz wird in der Regel durch geplante Aufgaben oder über Registrierungsschlüssel aufrechterhalten. Zusätzlich erstellt Emotet zufällig benannte Dateien in den System-Root-Verzeichnissen, die als Windows-Dienste ausgeführt werden. Bei der Ausführung versuchen diese Dienste, die Malware über zugängliche administrative Freigaben an benachbarte Systeme weiterzugeben.

Datenschutz-Anwalt Berlin: Wie man sich vor Emotet schützt

Halten Sie Ihren Computer mit den neuesten Patches für Microsoft Windows auf dem neuesten Stand. TrickBot wird oft als sekundäre Emotet-Nutzlast bereitgestellt, und wir wissen, dass TrickBot sich auf die Windows EternalBlue-Schwachstelle verlässt, um seine schlechtes Werk zu verrichten. Laden Sie keine verdächtigen Anhänge herunter und klicken Sie nicht auf verdächtige Links. Emotet kann den ersten Schritt in Ihrem System oder Netzwerk nicht machen, wenn Sie verdächtige E-Mails meiden. Nehmen Sie sich die Zeit, Ihre Mitarbeiter darüber aufzuklären, wie man Malspam erkennt. Informieren Sie sich und Ihre Mitarbeiter über die Erstellung eines sicheren Passworts und beginnen Sie bei der Gelegenheit mit der Zwei-Faktor-Authentifizierung. Mit einem robusten Sicherheitsprogramm, das mehrschichtigen Schutz bietet, können Sie sich und Ihre Benutzer vor Emotet schützen.

Datenschutz-Anwalt Berlin: Wie kann ich Emotet entfernen?

Wenn Sie vermuten, dass Sie bereits mit Emotet infiziert sind, bleiben sie besonnen. Wenn Ihr Computer an ein Netzwerk angeschlossen ist, trennen Sie ihn sofort. Sobald Sie isoliert sind, führen Sie ein Patch durch und bereinigen das infizierte System. Aber das ist noch nicht alles. Aufgrund der Art und Weise, wie sich Emotet in Ihrem Netzwerk verbreitet, kann ein sauberer Computer wieder infiziert werden, wenn er wieder an ein infiziertes Netzwerk angeschlossen wird. Reinigen Sie jeden Computer in Ihrem Netzwerk einzeln. Es ist ein mühsamer Prozess, aber es geht nicht anders. Während des Prozesses ist es wichtig, dass privilegierte Konten nicht für die Anmeldung an kompromittierten Systemen verwendet werden, da dies die Verbreitung der Malware beschleunigen kann.

Resch Datenschutz – Experten für DSGVO und Expertise im Datenschutz

Wenn Sie Fragen zur DSGVO oder allgemein zum Datenschutz haben, rufen Sie an unter 030 885 9770, oder füllen Sie den Fragebogen aus. Sie erhalten dann eine kostenlose erste Einschätzung Ihres Falles.