[English]Das Industrieunternehmen Kraus-Maffei ist vor zwei Wochen Opfer des Erpressungs-Trojaners Emotet geworden, der wohl zahlreiche Rechner im Unternehmen lahm legte. Nach dem Kreiskrankenhaus Fürstenfeldbruck ist dies ein weiteres Opfer, dessen Fall öffentlich bekannt wurde.
Anzeige
Emotet-Malware – ein Überblick
Kurze Information für schnelle Leser, die mit der Emotet-Malware nichts anfangen können. Vor zwei Tagen habe ich im Artikel Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen vor einer Malware-Welle mit der Emotet-Malware gewarnt. Kommt nicht von ungefähr, da die Hintermänner wohl seit November 2018 verstärkte Kampagnen fahren und auch auf deutsche Firmen zielen.
Die Gruppe hinter dem Trojaner ist seit mindestens 2014 aktiv und fokussierte sich bisher auf Bankkunden. Inzwischen wurde die Malware modifiziert und man greift Infrastrukturanbieter und Firmen in Europa an.
Emotet wird aktuell durch infizierte Word-Dokumente mit Makros, die als Rechnungen oder ähnliches versandt werden, verteilt. Die Texte der Mail variieren, sind teilweise in deutscher Sprache gehalten und sollen den Empfänger zum Öffnen des Anhangs bewegen. Gefährlich ist die ganze Geschichte, da der Trojaner-Teil der Malware die Adressbücher und Mails eines Opfers auswertet und diese Daten an die Hintermänner weiter leitet. Anschließend wird der Trojaner per Mail (teilweise mit korrekter Ansprache) an weitere Ziele verschickt. Der folgende Screenshot zeigt eine aktuellere Version der Mail, die vom LKA als Beispiel veröffentlicht wurde.
Anzeige
Falls Makro-Sperren gesetzt sind, versucht der Schädling das Opfer zum Öffnen des Anhangs zu bewegen. Gelingt es der Malware das Opfer zum Deaktivieren des Office-Makro-Schutzes zu überreden, lädt die Malware eine Spreader-Komponente nach. Diese ist in der Lage, sich über die in Windows existierende (und eigentlich längst gepatcht gehörte) EternalBlue-Schwachstelle über das Netzwerk auf andere Computersysteme zu verbreiten. Ich hatte einige Details im Artikel Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen zusammen getragen.
Kraus-Maffei schon seit '2 Wochen' betroffen
Ich bin durch diesen Kommentar auf den Fall aufmerksam geworden (danke dafür). Die Mitteldeutsche Zeitung berichtet gestern in einer Kurzmeldung – Basis ist wohl eine kurze DPA-Meldung – dass das Maschinenbauunternehmen Krauss Maffei (nach eigenen Angaben) Opfer eines Cyberangriff wurde. Die Infektion erfolgte bereits 'vor zwei Wochen' – der Trojaner scheint Datenträger verschlüsselt zu haben und das Unternehmen sah sich (laut eigenen Angaben) einer Lösegeldforderung gegenüber.
Ein Unternehmenssprecher bestätigte DPA, dass nach diesem Angriff die Produktion an einzelnen Standorten wegen Ausfall der Rechner stark gedrosselt werden musste. Inzwischen sieht sich das Unternehmen 'auf dem Weg zum Normalzustand'. Den Hinweis auf den Emotet-Trojaner findet man in der FAZ, die hier einen Beitrag veröffentlicht haben. Der Bayrische Rundfunk berichtet hier nur in allgemeiner Form.
Das Handelsblatt schreibt in diesem Artikel, dass vor allem der Hauptstandort München mit seinen 1.800 Mitarbeitern betroffen gewesen sei. Der Angriff wurde demnach am 21. November 2018 bekannt. Das Unternehmen hat dann, laut Bericht, sofort die Verbindungen zu seinen Kunden unterbrochen. Es ist bisher nicht bekannt, dass Kunden oder Lieferanten ebenfalls durch den Tojaner in Mitleidenschaft gezogen wurden.
Ein paar Spekulationen
An dieser Stelle kann man nun lediglich Spekulationen anstellen. Wenn der Netzwerk-Spreader von Emotet auf die EternalBlue-Schwachstelle angewiesen ist, waren möglicherweise die an einem Standort des Unternehmens verwendeten Rechner nicht ausreichend gepatcht. Gerade im Bereich der Maschinensteuerung, wo ein Windows 7 zum Einsatz kommt, ist das wohl gängige Praxis (never touch a running system). Möglicherweise kam der Trojaner über Phishing-Mails in das Produktionsnetzwerk – vielleicht konnte die Infektion auch über Netzwerke, an die Externe angebunden sind, stattfinden. Keine Ahnung, ob das jemals bekannt wird.
Wer ist Kraus-Maffei?
Kraus-Maffei hatte ich vor allem mit Panzern und Militärfahrzeugen in Verbindung gebracht – aber dieser Geschäftszweig gehört wohl zur Kraus-Maffei Wegmann GmbH. Ist also eine gänzlich andere Baustelle.
Betroffen ist wohl die Kraus Maffei Group, ein Unternehmen mit 5.000 Mitarbeitern, welches von Spritzgießmaschinen bis zu Beschnittmaschinen im Bereich Kunststoff und Gummiprodukte sowie Automatisation komplette Lösungen anbietet. Die Krauss-Maffei-Gruppe wurde im Jahr 2016 vom chinesischen Chemiekonzern China National Chemical Corporation (ChemChina) übernommen.
Wie kann man sich schützen?
Abschließend noch ein paar Zeilen zur Frage, was Administratoren in Firmen tun können, um die Schutzwälle hoch zu fahren. Hier ein paar generelle Hinweise:
- Von der Geschäftsleitung sollte sofort eine verbindliche Anweisung erfolgen, dass keine Anhänge mit .doc-Dateien oder ähnlichem geöffnet werden darf, wenn nicht explizit klar ist, dass dieses Dokument wirklich vom vermeintlichen Absender stammt und nicht infiziert ist.
- Administratoren sollten die Makro-Ausführung in Office generell sperren. Werden Office-Makros benötigt, kann man über Signaturen diese Dokumente zulassen.
- Windows-Systeme sollten auf dem aktuellen Patchstand bezüglich Sicherheitssoftware sein.
- Im Netzwerkbereich sollte eine entsprechende Absicherung existieren, damit nicht ein kompromittierter AD-Account zur lateralen Ausbreitung genutzt werden kann. Ich hatte im Blog-Beitrag Windows AD-Option hilft gegen NotPetya & Co. was dazu geschrieben.
Ansonsten haben die Kollegen bei heise.de gestern diesen Artikel veröffentlicht, der einige Details zu den oben aufgegriffenen Punkten beleuchtet.
Ähnliche Artikel
Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck
Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt
Achtung: Petya Ransomware befällt weltweit Systeme
WannaCry Clone Ransomware befällt Systeme in der Ukraine
Windows AD-Option hilft gegen NotPetya & Co.
Neues zu Petya: Zahl der Infektionen, Ziele und mehr …
Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk
Die Folgen des NotPetya-Angriffs für Maersk
Warnung vor neuem NotPetya-ähnlichem Cyber-Angriff
Sicherheitsinfo: Neue WannaCry-Infektionen
WannaCry hat bei Chiphersteller TSMC zugeschlagen …
WannaCry Wiederkehr? Von wegen, Betrugs-Mail
WannaCry: Die Gefahr ist noch nicht gebannt
Vermutlich WannaCry Ransomeware-Ausbruch bei Boeing
WannaCry-Infektionen bei Daimler?
Check Point: Jedes 4. Unternehmen Fireball-/Wannacry-Opfer
Anzeige
Die Panzerschmiede Krauss-Maffei und die Spritzgießtechnik-Fabrik Krauss-Maffei geben im Impressum fast die gleiche Adresse an, nur die Hausnummern sind unterschiedlich. Wobei die Krauss-Maffei-Straße ohnehin nur das Betriebsgelände durchquert: Auf der linken Straßenseite die einen, auf der rechten die anderen. Bis vor wenigen Jahren (als sie noch stolz ihren Transrapid-Prototyp vor dem Eingang stehen hatten) war das eine einzige Firma. Irgendwo könnten die Netzwerke der beiden durchaus noch eine Querverbindung haben, und sei es nur über die Betriebskantine.
Schon möglich – ich nehme aber an, dass man da die Eigentümerverhältnisse sauber trennt. Denn die Chinesen als Panzerbauer der Bundeswehr sind eher nicht vorstellbar ;-).
Na wenn Flinten Uschi das von einer der 25 ext. Beratern empfohlen wurde, kann das schon sein ;-)
Ist das Aufsetzen einer CA und die Vorgabe nur signierte Makros auszuführen wirklich so schwierig? Selbst wenn im Unternehmen viele Makros genutzt werden und man erstmal einiges zu signieren hat steht das m.e. nicht im Verhältnis zum Schaden der regelmäßig durch tumbe Makro Infektionen entsteht.
Selbst wenn ich in Berichten in Fachmagazinen die "Tipps" ala "Wie man sich schützen kann" finde ich nicht einen Verweis darauf, dabei könnte das so einfach sein.
ich habe in den letzten Tagen erlebt, dass:
# meine eine E-mail-Adresse für die Versendung von Schad-e.Nails -an mich gebrauctn wurde; ist kein Einzelfall; kommt immer permanent vor,
# dass ich gegenwärtig permanent unkoschere E-Mails erhalte.
Alles wird gelöscht bzw. nicht zugestellt und protokolliert.
Aber nebenbei –
Komischerweise bekomme ich E-mails mit Verzögerung von mehr als 3 Tagen. Ich hatte schon mal, dass mit jemand von seinem alten Hotmail-MS-Konto (wie heißt es jetzt ???) mir etwas sendete, was mit 4 Monaten Verzögerung (!!!) zugestellt wurde.
Es ist eben kurz vor Jahreswechsel und deshalb ist dieser Angriff völlig "normal". Einige IT-Betreuer haben hier ja auch schon berichtet, insbesondere wo die Schwachstellen liegen und was man nicht machen darf.
Grüße in die Runde
Na wenn Flinten Uschi das von einer der 25 ext. Beratern empfohlen wurde, kann das schon sein ;-)
Mit SAFER (Software Restriction Policies, AppLocker) wär das nicht passiert!
Selbst wenn ein PEBKAC die Ausführung von Makros aktiviert: die von diesen nach %TEMP% oder anderen, von unprivilegierten Benutzern beschreibbaren Verzeichnisse geschriebenen/entpackten/heruntergeladenen Programme/Skripts können nicht ausgeführt werden.
JFTR: Sicherheiz-Software, insbesondere Virenscanner, bietet KEINEN Schutz!