[English]Die Cyber-Kriminellen hinter dem Erpressungstrojaner Emotet fahren gerade eine neue Ransomware-Kampagne. Sicherheitsbehörden diverser Länder warnen vor neuen Angriffswellen.
Anzeige
Emotet begann sein Leben als einfacher Banking-Trojaner, als er 2014 von einer Hackergruppe mit verschiedenen Namen, darunter TA542, Mealybug und MUMMY SPIDER, ins Leben gerufen wurde. Seit dieser Zeit hat sich Emotet als eine der am längsten laufenden und gefährlichsten Ransomware-Varianten entwickelt. Anfang des Jahres 2020 gab es zwar etwas Ruhe, weil ein Sicherheitsforscher ein Gegenmittel gefunden hatte (siehe EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate).
Aber seit Sommer 2020 ist Emotet zurück und aktuell fahren die Hintermänner neue Kampagnen, um den Erpressungstrojaner zu verteilen. Die Länder Frankreich, Japan und Neuseeland sind aktuell von einer Welle von Emotet-Angriffen betroffen. Daher haben sich die zuständigen Cyber-Sicherheitsbehörden mit entsprechenden Warnungen zu Wort gemeldet. Bleeping Computer hat hier die Warnung der Cyber-Sicherheitsbehörden Frankreichs thematisiert.
Und ZDNet berichtet hier über eine steil steigende Zunahme von Emotet-Angriffen. Laut ZDNet beziehen sich die Warnungen vor Emotet auf E-Mail-Spam-Kampagnen. Diese gehen von der Emotet-Infrastruktur aus und zielen auf Unternehmen und Regierungsbehörden in den genannten Ländern.
In Frankreich infizierte Emotet die Computer im Netzwerk des Pariser Justizsystems. Das französische Innenministerium blockierte darauf die Zustellung aller Office-Dokumente (.doc) per E-Mail . Die französische Cyber-Sicherheitsagentur ANSSI veröffentlichte diese Woche Montag eine offizielle Cyber-Sicherheitswarnung. Dort forderte die ANSSI die Regierungsbehörden auf, auf die E-Mails zu achten, die sie öffnen.
Anzeige
Obiger Tweet zeigt eine Emotet Heat Map mit den weltweiten Infektionen. Eine zweite Map gibt es hier. Die USA und Europa sind gut dabei.
Ähnliche Artikel:
Emotet-Trojaner/Ransomware weiter aktiv
Emotet wütet bei der Studienstiftung des deutschen Volkes
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
FAQ: Reagieren auf eine Emotet-Infektion
Anzeige
und die Vertteilung geht weiter via macros in MS-office-Docs?
Abenteuerlich – weil, die kann man doch abstellen, temporär. Wenn man schon kein anderes office nutzt, wie softmaker (sehr gut, dabei kompatibel genug – auch für den Büroalltag) oder die beiden free-offices (brauchbar).
Ja.
Es geht um *.doc. Diese können Makros enthalten, die, wenn richtig konfiguriert, etweder mit Warnung oder gar nicht ausgeführt werden können.
Im Gegensatz dazu enthält die "neue" *.docx (seit Office2007) keine Makros und ist somit sicherer.
Mir unverständlich, warum das Versenden von *.doc noch so verbreitet ist, besonders unter Firmen.
Wahrscheinlich will man mit dem .doc/Format dem Empf'ääner es einfacher machen.
Kann man denn .docx auch auf nicht/Windowssystemen lesen?
Klar, einfach OpenOffice installieren.
Außserdem: Haben wir immer schon so gemacht!
Aprospos "nur Lesen".
Früher konnte man sich einen "doc-Viewer" installieren.
Das scheint völlig out zusein?
Nein, die crooks können auch in docx VBA-Code einbringen
wir wollten es abstellen. Dann kam der Kunde mit einem Bestellvolumen im sieben- bis achtstelligen Eurowert p.a. und bestand darauf, dass er uns weiter Excel-Dateien mit Makro schicken will, die wir ausfüllen und mit Makro zurückschicken müssen. Die Makros übertragen dann die Daten in deren System und vergleichen mit anderen Angeboten.
Das heißt, wir können nicht mal die Makros entfernen, wenn sie von diesem Kunden kommen. Digital signiert ist natürlich auch nichts…
Jetzt rate mal, was die Aussage der GL zu unserer Aussage "dann muss sich der Kunde anpassen" war…
Wir haben, neben den üblichen Office GPOs, vor ein paar Wochen angefangen, DOC und XLS per E-Mail komplett zu sperren. Die User und Absender erhalten entsprechend eine Meldung. Kam Anfangs natürlich gar nicht gut an, hat sich mittlerweile aber beruhigt. Einfach DOCX speichern und fertig. Ein weiterer und recht simpler Hebel.
Was unternehmt ihr noch so zusätzlich? Würde mich wirklich interessieren.
Schönes Wochenende
Die Methode gefällt mir, weil einfach und 100 % wirksam :-)
Hallo Daniel
Finde ich auch einen guten Weg, ist zwar radikal aber wirksam.
Wie habt Ihr das technisch gelöst?
Grüsse Mario
Wird direkt an den Sophos abgelehnt
Machen wir genauso :-)
Hallo Daniel,
ich lehne an unserem Mailgateway (NoSpamProxy) zentral alle potenziell gefährlichen Dateiendungen grundsätzlich ab.
.zip darf nur an EINE spezielle E-Mailadresse zugestellt werden. Diese Mails werden zuerst von der IT geprüft und dann weitergeleitet.
Eine per GPO verteilte Softwareeinschränkung im Benutzerprofil trägt ebenfalls dazu bei das potenziell gefährliche Dateiendungen garnicht erst gestartet werden können.
Der Admin gibt dann falls nötig .exe Dateien oder Verzeichnisse frei welche zwingend benötigt werden.
Dazu kannst du zuerst einige Testuser hernehmen um zu testen ob es in deinem Unternehmen Software gibt welche im %localappdata% %appdata% %tmp% %temp% Programme starten muss.
VG
Fabian
Moin,
oder einfach die Kollegen und fremde Absender dazu "erziehen", aufs aktuelle Office-Format umzusteigen, indem keine *.doc mehr als Mailanhang entgegengenommen werden!
dann kommen .docm
Weil die Makros ja wichtig sind…
Zum Thema neue Office Formate ohne Makros: haben diese nicht das Format *.docm und *.xlsm? Fragt sich dann nur, warum Emotet da noch nicht umgestiegen ist? Oder wird das schon unterbunden, wenn man nur digital signierte Makros zulässt? Aber auch das können solche Leute ja einfach umgehen. Digital signieren sollte ja einfach machbar sein.
Wieso wird hier ständig erzählt, dass .docx sicher wäre, weil es keine Macros enthalten würde???
Das ist so nicht richtig, natürlich kann .docx ebenso Macros enthalten. Ich arbeite ständig mit Macros. Der Trick ist oft, dass da eine Startseit kommt, die den Empfänger dazu auffordert, die Macros zuzulassen, der entsprechende Button heißt leider oft "Inhalt aktivieren", was misverständlich ist.
Ich mache das auf den von mir betreuten PCs, so, dass Office Dateien aus Mails und auch aus dem System per Doppelklick nicht mit MS Office geöffnet werden, sonder mit Softmaker-Office, alternativ mit Libre Office. Ersteres kann mit den Macros gar nichts anfangen, bei zweiteren deaktiviere ich jegliche Macros.
Wenn ich eine .docm Datei (also mit Makros) umbenenne in .docx weigert sich Word, diese zu öffnen. ("Leider kann "Test.docx" nicht geöffnet werden, da der Inhalt Probleme verursacht").
Beim Abspeichern einer Word-Datei mit Makro als .docx kommt die Meldung, dass VBA nicht in einem Dokument ohne Makros gespeichert werden könne.
Das ist richtig, alleinstehende .docx Dateien sind vergleichsweise ungefährlich. Bei mir sind die Makros in einer .dot Vorlage, die mit der .doc Datei verbunden ist, das geht mit .docx in gleicher Weise.
Es gibt eine sehr aktuelle Liste der C2-Server bei abuse.ch. Da stellt sich die Frage, warum diese Server zumindest in seriösen Ländern nicht schnell abgeschaltet werden.