Von Viren, Trojaner und anderen Schädlingen – Emotet

Seit 2018 steigen die Angriffe aus dem Internet (Cyberangriffe) massiv an.
Betroffen sind nicht nur Privatpersonen, auch Unternehmen oder Behörden
gehörten zu den Opfern!

Die Heise Medien GmbH berichtet in einer Ausgabe der CT (Ausgabe 13/2019)
über den Angriff auf das eigene Verlagshaus und deren Folgen!

 

Emotet

kein Einbruch erforderlich

ein Trojaner, der erstmals 2014 als „Banking-Trojaner“ in Erscheinung trat, ist auf dem Vormarsch.
Bestand seine ursprüngliche Aufgabe noch darin, persönliche Bankdaten auszuspähen, und diese unbemerkt weiterzuleiten, ist er aus diesen Kinderschuhen schon lange herausgewachsen!

Heute besteht seine Hauptaufgabe darin, sich erst einmal unbemerkt in Computersystemen einzunisten und dort die Kontrolle zu übernehmen.

Wechselhaft wie ein Chamäleon ist er in der Lage, seinen eigenen Programmcode anzupassen, um sich so vor Antiviren-Software zu verbergen.
Polymorphe Viren erkennen dabei, ob sie sich in einer virtuelleren Umgebung bzw. Sandbox befinden und wartet einfach ab.

Ist seine Zeit gekommen, lädt er weitere Schadsoftware aus dem Internet herunter und führt diese mit vollen Computerrechte aus.
Wie ein „Fleißiges Lieschen“ sammelt er allerhand Daten über IT-Netze, E-Mail-Adressen, Zugangsdaten und leitet diese an sogenannte CnC-Server
(Command and Control Server).

Diese Daten werden unter anderem dazu verwendet, weitere E-Mails mit infizierten Datei-Anhänge zu versenden.

Wer jetzt denkt „Ich habe ja Antivirensoftware auf meinem Rechner, mir kann ja nichts passieren…“
hat schon verloren.

 

Schützen durch Verstehen

E-Mail mit infizierten Word-Dokument

Den „Fuß in die Tür“ bekommt Emotet nicht etwa durch einen virtuellen Einbruch, sondern durch
den Menschen selber – in Form einer E-Mail.

Diese Mail scheint auf den ersten Blick vertrauenswürdig zu sein!
Der Absender ist ein Freund, Kollege, der Chef oder ein Geschäftspartner und der Inhalt kann durchaus einen realen Bezug auf vorangegangenen E-Mail-Verkehr enthalten.

Ebenso sind „Bewerbungsschreiben“ ein beliebter Betreff.

Emotet sitzt im Datei-Anhang, meistens handelt es sich dabei um ein Office-Dokument.

Wird der Anhang geöffnet, erscheint der Hinweis:
Geschützte Ansicht
Vorsicht ─ E-Mail-Anlagen können Viren enthalten.
Wenn Sie die Dateianlage nicht bearbeiten müssen, ist es sicherer, die geschützte Ansicht beizubehalten.

Durch Klick auf „Bearbeitung aktivieren“, wird ein Makro gestartet!

Makros erlauben automatisierte, immer wiederkehrende Abläufe z. B. in Word durchzuführen.

Damit nimmt das Unglück seinen Lauf!

Mithilfe des Makros, wird ein kleines Programm aus dem Internet heruntergeladen und ausgeführt!
Diese Datei verändert leicht zugängliche, systemrelevante Daten, um so vollen administrativen Zugang zu erhalten.

Anschließend wird der Hauptschädling heruntergeladen und ausgeführt.

Hinweistext nach dem Infekt durch Emotet

In 99 % der Fälle kommen sogenannte „Ransomware“ zum Einsatz.
Diese Verschlüsselungstrojaner haben nur ein Ziel vor Augen:
Alle Dateien auf die sie zugreifen können, zu verschlüsseln!
Davon betroffen sind alle mit dem infizierten Rechner verbundenen Laufwerke
– physisch oder per Netzwerk
– sichtbar oder unsichtbar
– Bandlaufwerke (zur Datensicherung)

Alle ursprünglichen Dateien werden bei der Verschlüsslung überschrieben und bisher ist mir nicht bekannt, dass ein Filerecovery (zum Wiederherstellen gelöschter Dateien) erfolgreich war.

Um wieder vollen Zugriff zu erhalten, soll man Lösegeld in Form der digitalen Währung Bitcoins bezahlen.
In den meisten Berichten war jedoch zu lesen, dass die Dateien nach Zahlung nicht entschlüsselt wurden.