CERT-Bund: Emotet ist zurück, C&C-Server wieder aktiv

[English]Die Hintermänner der Emotet-Ransomware haben wohl erneut ihre C&C-Server aktiviert und es dürfte wohl bald neue Kampagnen mit erfolgreichen Infektionen geben.

Warnung des CERT-Bund vor Emotet

In den letzten Wochen war es in Sachen Ransomware-Infektion mit dem Emotet-Trojaner recht ruhig. Die letzten Meldungen, die mir im Hinterkopf hängen geblieben sind, waren die Emotet-Infektion bei heise im Mai 2019 sowie Warnung des BSI (siehe BSI warnt vor Ransomware-Angriffen auf Unternehmen) vom April  diesen Jahres. Möglicherweise haben die Cyber-Kriminellen einfach 'Sommerurlaub' gemacht. Damit ist es nun aber vorbei.
[tw_embed]

#Emotet ist zurück! Seit einigen Stunden ist die Anfang Juni abgeschaltete C&C-Infrastruktur von Emotet wieder online und liefert Module an noch infizierte Clients aus. Wer den Zugriff aus seinem Netz auf die zuletzt bekannten C&C-Server noch nicht blockiert hat, …

— CERT-Bund (@certbund) 23. August 2019

[/tw_embed]

CERT-Bund warnt in obigem Tweet vor dem Emotet-Trojaner. Die im Juni 2019 abgeschaltet Infrastruktur mit ihren Command und Control-Servern (C&C-Server) wurde wieder aktiviert. Die Server liefern Module an infizierte Client aus.

Für Admins in Firmen heißt dies, die Zugriffe auf die betreffenden C&C-Server blockieren. Auf dieser Webseite findet sich eine Liste mit den IP-Adressen, die zu blockieren sind. Heise hat in diesem Artikel noch einige Informationen zusammen getragen.

Der Emotet-Trojaner

Der Emotet-Trojaner ist nichts neues, Symantec hat im Sommer 2018 den Beitrag hier zu diesem Schädling veröffentlicht. Die Gruppe hinter dem Trojaner ist seit mindestens 2014 aktiv und hatte sich bisher auf Bankkunden fokussiert. Vor einiger Zeit gab es aber einen Strategiewechsel, indem man Infrastruktur und Firmen in Europa angreift und mit Ransomware infiziert.

Das Landeskriminalamt (LKA) Niedersachsen warnte bereits mehrfach davor, dass sich die Malware "Emotet" massiv über E-Mailanhänge verbreitet. Emotet liest die Adressbücher und wertet die E-Mail-Kommunikation der Opfer aus. So kann die Malware sich an weitere E-Mail-Adressen potentieller Opfer versenden. Diese bekommen dann eine E-Mail von einem vermeintlich bekannten Absender.

Die Texte der Mail variieren, sind teilweise in deutscher Sprache gehalten und sollen den Empfänger zum Öffnen des Anhangs bewegen. Der obige Screenshot zeigt eine Version der Mail, die vom LKA als Beispiel veröffentlicht wurde. Der Anhang ist eine Word .doc-Datei. Falls Makro-Sperren gesetzt sind, versucht der Schädling das Opfer zum Öffnen des Anhangs zu bewegen

Kritisch ist vor allem die Komponente von Emotet, die eine Ausbreitung in Firmennetzwerken ermöglicht. Das stellt für Firmen eine besondere Herausforderung dar. Die Ausbreitung über Netzwerke bedeutet auch, dass Opfer infiziert werden können, ohne jemals auf einen bösartigen Link zu klicken oder einen bösartigen Anhang herunterzuladen.

Einmal auf einem Computer gelandet, lädt Emotet ein Spreadermodul herunter und führt es aus. Das Modul enthält eine Passwortliste, mit der es versucht, den Zugriff auf andere Computer im selben Netzwerk zu erhalten, schreibt Symantec. Microsoft hat hier einen Artikel zu diesem Schädling veröffentlicht, wobei der Windows Defender einige Varianten erkennt.

Ähnliche Artikel:
BSI warnt vor Ransomware-Angriffen auf Unternehmen
CERT-Bund warnt vor Emotet-Mails
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet Trojaner-Infektion bei Kraus-Maffei
Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen
Warnung vor Banking-Trojaner Win32/Emotet.C
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck