![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Das LKA-Niedersachsen warnt vor einer Malware-Welle, die auf deutsche Firmen zielt und diese \u00fcber Varianten des Emotet-Trojaner ausspioniert bzw. sch\u00e4digt. Hier einige Informationen, was man wissen sollte.<\/p>\nDas LKA-Niedersachsen warnt vor einer Malware-Welle, die auf deutsche Firmen zielt und diese \u00fcber Varianten des Emotet-Trojaner ausspioniert bzw. sch\u00e4digt. Hier einige Informationen, was man wissen sollte.<\/p>\n
<\/p>\n
Kritisch ist vor allem die Komponente von Emotet, die eine Ausbreitung in Firmennetzwerken erm\u00f6glicht. Das stellt f\u00fcr Firmen eine besondere Herausforderung dar. Generell l\u00e4sst sich in letzter Zeit eine Renaissance von Schadsoftware mit Wurm-Komponenten zu deren Verbreitung ausmachen. Ransomware wie WannaCry (Ransom.Wannacry) und Petya\/NotPetya (Ransom.Petya) sind bekannte Beispiele.<\/p>\n Die Ausbreitung \u00fcber Netzwerke bedeutet auch, dass Opfer infiziert werden k\u00f6nnen, ohne jemals auf einen b\u00f6sartigen Link zu klicken oder einen b\u00f6sartigen Anhang herunterzuladen. Einmal auf einem Computer gelandet, l\u00e4dt Emotet ein Spreadermodul herunter und f\u00fchrt es aus. Das Modul enth\u00e4lt eine Passwortliste, mit der es versucht, den Zugriff auf andere Computer im selben Netzwerk zu erhalten, schreibt Symantec. Microsoft hat hier einen Artikel zu diesem Sch\u00e4dling ver\u00f6ffentlicht, wobei der Windows Defender einige Varianten erkennt.<\/p>\n In dem heute ver\u00f6ffentlichten Dokument Schadsoftware \"Emotet\" verbreitet sich weiter und zwar massiv!<\/a> geht das Landeskriminalamt (LKA) Niedersachsen in die Offensive. Im November 2018 gab es bereits eine Warnung des LKA, dass sich die Malware \"Emotet\" massiv \u00fcber E-Mailanh\u00e4nge verbreitet.<\/p>\n Das Problem: Emotet liest die Adressb\u00fccher und wertet die E-Mail-Kommunikation der Opfer aus. So kann die Malware sich an weitere E-Mail-Adressen potentieller Opfer versenden. Diese bekommen dann eine E-Mail von einem vermeintlich bekannten Absender.<\/p>\n Die Texte der Mail variieren, sind teilweise in deutscher Sprache gehalten und sollen den Empf\u00e4nger zum \u00d6ffnen des Anhangs bewegen. Der obige Screenshot zeigt eine aktuellere Version der Mail, die vom LKA als Beispiel ver\u00f6ffentlicht wurde. Der Anhang ist eine Word .doc<\/em>-Datei. Falls Makro-Sperren gesetzt sind, versucht der Sch\u00e4dling das Opfer zum \u00d6ffnen des Anhangs zu bewegen.<\/p>\n \u00d6ffnet der Empf\u00e4nger den verseuchten Anhang, springt der Sch\u00e4dling auf das n\u00e4chste System. Die aktuelle Version von Emotet besitzt dar\u00fcber hinaus die Eigenschaft, sich \u00fcber die Windows-Schwachstelle Eternal Blue<\/a> per Wurmkomponente in Firmennetzwerken lateral zu verbreiten. Offenbar gibt es immer noch Firmennetzwerke, wo die EternalBlue-Schwachstelle ungepacht ist.<\/p>\n Der Patch gegen EternalBlue wurde von Microsoft am 14. M\u00e4rz 2017 ver\u00f6ffentlicht und im Oktober 2017 aktualisiert (siehe Sicherheitsupdate f\u00fcr Microsoft Windows SMB-Server (4013389)<\/a>).<\/p><\/blockquote>\n Das LKA-Dokument enth\u00e4lt noch einige Hinweise zur Erkennung von Emotet-Infektionen. Zudem hat heise.de einen umfangreichen Artikel zum Thema<\/a> ver\u00f6ffentlicht. Laut heise.de legt der Trojaner aktuell in Deutschland ganze Firmen lahm. \"Emotet ist nach unserer Einsch\u00e4tzung ein Fall von Cyber-Kriminalit\u00e4t, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden\" erkl\u00e4rt BSI-Pr\u00e4sident Arne Sch\u00f6nbohm gegen\u00fcber heise.de die neuartige Qualit\u00e4t der Angriffe. Er sieht konkrete Vorbilder f\u00fcr die neuen Cybercrime-Aktivit\u00e4ten, n\u00e4mlich Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion. Da kommt mein nachfolgender Artikel zur AD-H\u00e4rtung gegen NotPetya & Co. wohl gerade richtig.<\/p>\n Wer auf die Schnelle \u00fcberpr\u00fcfen m\u00f6chte, ob sein Windows-System gegen die EternalBlue-Schwachstelle gepatcht ist, kann den EternalBlue Vulnerability Checker<\/a> von ESET herunterladen und unter Windows ausf\u00fchren (siehe auch EternalBlue Vulnerability Checker<\/a>). In einem Fenster der Eingabeaufforderung erh\u00e4lt man dann Informationen, ob das System gepatcht ist.<\/p>\n \u00c4hnliche Artikel<\/strong> Mehr zum Malware-Befall im Klinikum F\u00fcrstenfeldbruck<\/a> Das LKA-Niedersachsen warnt vor einer Malware-Welle, die auf deutsche Firmen zielt und diese \u00fcber Varianten des Emotet-Trojaner ausspioniert bzw. sch\u00e4digt. Hier einige Informationen, was man wissen sollte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[1018,4328,4325],"class_list":["post-212505","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-malware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/212505","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=212505"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/212505\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=212505"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=212505"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=212505"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Der Emotet-Trojaner ist nichts neues, Symantec hat im Sommer 2018 den Beitrag hier<\/a> zu diesem Sch\u00e4dling ver\u00f6ffentlicht. Die Gruppe hinter dem Trojaner ist seit mindestens 2014 aktiv und hatte sich bisher auf Bankkunden fokussiert. Nun scheint es aber einen Strategiewechsel gegeben zu haben, indem man Infrastruktur und Firmen in Europa angreift.<\/p>\n
Warnung des LKA-Niedersachsen<\/h2>\n
![\"Emotet-Mail-Variante\"](\"https:\/\/web.archive.org\/web\/20190608185759\/https:\/\/zac-niedersachsen.de\/tmp\/2018-12-05_Paypal_Mail_mit_Trojaner.png\" "\\"Emotet-Mail-Variante\\"")
<\/p>\n![\"Emotet-Meldung](\"https:\/\/i.imgur.com\/EPo1Yki.jpg\" "\\"Emotet-Meldung")
<\/p>\nPr\u00fcfung, ob Windows gegen EternalBlue gepatcht ist<\/h2>\n
\nWindows AD-Option hilft gegen NotPetya & Co.<\/a>
\nNeues zu Petya: Zahl der Infektionen, Ziele und mehr \u2026<\/a>
\nESET Analyse zu Not Petya\/Diskcoder.C Verbreitung<\/a>
\nWannaCry: Die Gefahr ist noch nicht gebannt<\/a>
\nWannaCry hat bei Chiphersteller TSMC zugeschlagen \u2026<\/a>
\nNSA-Exploits f\u00fcr alle Windows-Versionen angepasst<\/a>
\nWannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor<\/a><\/p>\n
\nWarnung vor Banking-Trojaner Win32\/Emotet.C<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"