Das LKA-Niedersachsen warnt vor einer Malware-Welle, die auf deutsche Firmen zielt und diese über Varianten des Emotet-Trojaner ausspioniert bzw. schädigt. Hier einige Informationen, was man wissen sollte.
Anzeige
Der Emotet-Trojaner
Der Emotet-Trojaner ist nichts neues, Symantec hat im Sommer 2018 den Beitrag hier zu diesem Schädling veröffentlicht. Die Gruppe hinter dem Trojaner ist seit mindestens 2014 aktiv und hatte sich bisher auf Bankkunden fokussiert. Nun scheint es aber einen Strategiewechsel gegeben zu haben, indem man Infrastruktur und Firmen in Europa angreift.
Kritisch ist vor allem die Komponente von Emotet, die eine Ausbreitung in Firmennetzwerken ermöglicht. Das stellt für Firmen eine besondere Herausforderung dar. Generell lässt sich in letzter Zeit eine Renaissance von Schadsoftware mit Wurm-Komponenten zu deren Verbreitung ausmachen. Ransomware wie WannaCry (Ransom.Wannacry) und Petya/NotPetya (Ransom.Petya) sind bekannte Beispiele.
Die Ausbreitung über Netzwerke bedeutet auch, dass Opfer infiziert werden können, ohne jemals auf einen bösartigen Link zu klicken oder einen bösartigen Anhang herunterzuladen. Einmal auf einem Computer gelandet, lädt Emotet ein Spreadermodul herunter und führt es aus. Das Modul enthält eine Passwortliste, mit der es versucht, den Zugriff auf andere Computer im selben Netzwerk zu erhalten, schreibt Symantec. Microsoft hat hier einen Artikel zu diesem Schädling veröffentlicht, wobei der Windows Defender einige Varianten erkennt.
Warnung des LKA-Niedersachsen
In dem heute veröffentlichten Dokument Schadsoftware "Emotet" verbreitet sich weiter und zwar massiv! geht das Landeskriminalamt (LKA) Niedersachsen in die Offensive. Im November 2018 gab es bereits eine Warnung des LKA, dass sich die Malware "Emotet" massiv über E-Mailanhänge verbreitet.
Anzeige
Das Problem: Emotet liest die Adressbücher und wertet die E-Mail-Kommunikation der Opfer aus. So kann die Malware sich an weitere E-Mail-Adressen potentieller Opfer versenden. Diese bekommen dann eine E-Mail von einem vermeintlich bekannten Absender.
Die Texte der Mail variieren, sind teilweise in deutscher Sprache gehalten und sollen den Empfänger zum Öffnen des Anhangs bewegen. Der obige Screenshot zeigt eine aktuellere Version der Mail, die vom LKA als Beispiel veröffentlicht wurde. Der Anhang ist eine Word .doc-Datei. Falls Makro-Sperren gesetzt sind, versucht der Schädling das Opfer zum Öffnen des Anhangs zu bewegen.
Öffnet der Empfänger den verseuchten Anhang, springt der Schädling auf das nächste System. Die aktuelle Version von Emotet besitzt darüber hinaus die Eigenschaft, sich über die Windows-Schwachstelle Eternal Blue per Wurmkomponente in Firmennetzwerken lateral zu verbreiten. Offenbar gibt es immer noch Firmennetzwerke, wo die EternalBlue-Schwachstelle ungepacht ist.
Der Patch gegen EternalBlue wurde von Microsoft am 14. März 2017 veröffentlicht und im Oktober 2017 aktualisiert (siehe Sicherheitsupdate für Microsoft Windows SMB-Server (4013389)).
Das LKA-Dokument enthält noch einige Hinweise zur Erkennung von Emotet-Infektionen. Zudem hat heise.de einen umfangreichen Artikel zum Thema veröffentlicht. Laut heise.de legt der Trojaner aktuell in Deutschland ganze Firmen lahm. "Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden" erklärt BSI-Präsident Arne Schönbohm gegenüber heise.de die neuartige Qualität der Angriffe. Er sieht konkrete Vorbilder für die neuen Cybercrime-Aktivitäten, nämlich Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion. Da kommt mein nachfolgender Artikel zur AD-Härtung gegen NotPetya & Co. wohl gerade richtig.
Prüfung, ob Windows gegen EternalBlue gepatcht ist
Wer auf die Schnelle überprüfen möchte, ob sein Windows-System gegen die EternalBlue-Schwachstelle gepatcht ist, kann den EternalBlue Vulnerability Checker von ESET herunterladen und unter Windows ausführen (siehe auch EternalBlue Vulnerability Checker). In einem Fenster der Eingabeaufforderung erhält man dann Informationen, ob das System gepatcht ist.
Ähnliche Artikel
Windows AD-Option hilft gegen NotPetya & Co.
Neues zu Petya: Zahl der Infektionen, Ziele und mehr …
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
WannaCry: Die Gefahr ist noch nicht gebannt
WannaCry hat bei Chiphersteller TSMC zugeschlagen …
NSA-Exploits für alle Windows-Versionen angepasst
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck
Warnung vor Banking-Trojaner Win32/Emotet.C
Anzeige
Emotet hat vor paar Tagen das komplette Kreiskrankenhaus Fürstenfeldbruck außer Betrieb gesetzt.
https://www.sueddeutsche.de/muenchen/fuerstenfeldbruck/computer-virus-besonders-boesartig-1.4214578
Danke, ich hatte es vermutet, aber keine Bestätigung. Die Süddeutsche benennt den Schädling nicht – aber in meinem eigenen Beitrag – ich habe es inzwischen am Artikelende verlinkt, ist Emotet noch als 'Banking-Trojaner' in Vermutung.
War das wirklich Emotet? Die schreiben dort von "besonders bösartig" und "ungewöhnlich". Eigentlich ist die Emotet Familie nun beides nicht wirklich. Man nutzt die üblichen Wege über Makros in Office Dokumenten, die Malware nachladen, was also noch Nutzer-Interaktion notwendig macht. Und dann findet eine Verbreitung über Lücken im System statt, die seit über einem Jahr gepatcht sein sollten.
Bei einem kleinen Handwerker würde ich es ja verstehen, wenn solch eine Malware ein nicht gepflegtes System ohne weiteren Schutz zerlegt.
Dass es aber in einem Kreiskrankenhaus möglich ist, Anhänge einfach so zu öffnen und kein vorheriger Check stattfindet, ist schon unverständlich. Dass offenbar die SMB Sicherheitsupdates aus 2017 ebenfalls fehlten ist noch eine Stufe seltsamer.
Warnung von BSI
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html
Keine seriöse Firma verschickt Rechnungen im doc-Format. Wer als email-Empfänger, sei es privat oder in der Firma, sowas einfach anklickt dem ist nicht zu helfen.
Kunde von uns (ein einfacher Verein) war 1 Klick vom "Untergang" entfernt :F. Die gute Dame hatte schon die doc-Datei geöffnet, aber die geschützte Ansicht von Word aktiviert gelassen ("Bearbeitung aktivieren" hatte sie nicht angeklickt), da es ihr doch komisch vorkam. Naja, glückerlicherweise konnte ich vor einiger Zeit regelmäßige Image-Sicherungen der Systeme durchsetzen, wobei die Sicherungsdateien nur für ein bestimmtes Konto zugänglich sind. Problematisch wären dann aber immer noch eventuelle Informationsabflüsse gewesen.
Zur Abrundung des Themas vielleicht noch der Hinweis dass dieser "ESET-Checker" lediglich das Vorhandensein von "srv.sys" auf dem System (==> altes SMBv1-Protokoll = Windows 8.1 sowie ältere BS) und nicht etwa nach "srv2.sys" (Windows 10, v1809/1903) überprüft.
CVE-2017-0144 wurde seinerzeit von MS als "Critical" eingestuft -wer bis heute auf seinen Maschinen Client-/Serverseitig die SMB 1.0 Dateifreigabe nicht gepatcht/deaktiviert hat dem ist meinen Augen nach nicht zu helfen..
Hallo Herr Born, vielleicht haben Sie Lust, sich mit ein paar moderneren Whitelistinglösungen zu befassen? S. Diskussion hier:
https://www.heise.de/forum/heise-Security/News-Kommentare/Achtung-Dynamit-Phishing-Gefaehrliche-Trojaner-Welle-legt-ganze-Firmen-lahm/Whitelistingsoftware-wuerde-helfen-ct-bitte-testen/posting-33544961/show/
Mit freundlichen Grüßen und hoffe, daß Sie die Folgen Ihres Unfalls überwunden haben mögen,
M. L.
Jo die oben abgebildete Mail ist bei meiner Frau in der Firma (im medizinischen Bereich unterwegs) gestern auch aufgeschlagen, hat sie dann zur IT weitergeleitet und gelöscht.
Bleibt zu hoffen das die anderen es genau so machen.
Danke für die Info – ist ja der Hintergrund, warum ich mir die Mühe mache, und den Text zu solchen Themen einklopfe – manchmal lesen die Leute so was vorher und leiten die Info auch weiter. Wenn jemand gebrieft ist, sinkt die Gefahr, dass er auf solche Phishing-Mails herein fällt. Stelle ich im persönlichen Umfeld immer wieder fest (u.a. in Bezug auf Betrugsanrufe im angeblichen Auftrag von Microsoft).
Ja diese Anrufe kamen hier auch schon, die Leute verstehen mich immer nicht warum auch immer ? ?♂️ ?♂️.
Hat ja lange gedauert diese Warnung, diese Welle rollt schon seit dem 05.11.2018 durchs Internet und passt sich regelmäßig an was die Betreffs angeht. Habe hier in den letzten 4 Wochen an die 900 Mails mit dem Mist rausgefischt.
Neben den üblichen "Rechnungen" und "Sie haben eine Zahlung erhalten" waren es auch Amazon Mails mit Gutscheinen zum Cyber Monday und nun Paypal & IRS, wobei IRS für Deutschland recht unpassend ist.
Man sollte sich auch nicht darauf verlassen das man ein Word Dokument im Anhang hat, ich sehe ganz klar das hier variert wird zwischen Anhang und Links um das Filtern von .doc über die Links auszuhebeln.
Inzwischen hat's auch Kraus-Maffei erwischt!
Hier der Artikel: Emotet Trojaner-Infektion bei Kraus-Maffei
HEISE:
"Es gab einen schwerwiegenden Einbruch in das Heise-Netz; Auslöser war eine Emotet-Infektion… Von dem Vorfall betroffen waren und sind die Heise Gruppe und der Verlag Heinz Heise, also Mutter- und Schwester-Unternehmen der Heise Medien".
https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html
Eine kurze Zeit war es ruhig bei Emotet, weil deren Server nicht mehr aktiv waren. Inzwischen wurde aber vom CERT-Bund gemeldet, dass die Server wieder aktiv sind: https://www.rebeit.de/it-news/emotet-wieder-aktiv/
Seitdem haben die Angriffe wieder stark zugenommen, daher hat das BSI inzwischen eine eigene Webseite zur Aufklärung geschaltet: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html
Aber auch insgesamt haben die Ransomware-Angriffe auf Unternehmen stark zugenommen, was eine Analyse von Malwarebytes zeigt: https://www.heise.de/security/meldung/Bericht-Ransomware-Angriffe-auf-Firmen-fast-vervierfacht-4492497.html
Emotet ist daher weiterhin ein großes Problem.