{"id":212614,"date":"2018-12-07T10:19:34","date_gmt":"2018-12-07T09:19:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=212614"},"modified":"2021-04-18T00:24:16","modified_gmt":"2021-04-17T22:24:16","slug":"emotet-trojaner-infektion-bei-kraus-maffei","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/12\/07\/emotet-trojaner-infektion-bei-kraus-maffei\/","title":{"rendered":"Emotet Trojaner-Infektion bei Kraus-Maffei"},"content":{"rendered":"

[English]Das Industrieunternehmen Kraus-Maffei ist vor zwei Wochen Opfer des Erpressungs-Trojaners Emotet geworden, der wohl zahlreiche Rechner im Unternehmen lahm legte. Nach dem Kreiskrankenhaus F\u00fcrstenfeldbruck ist dies ein weiteres Opfer, dessen Fall \u00f6ffentlich bekannt wurde. <\/p>\n

<\/p>\n

Emotet-Malware \u2013 ein \u00dcberblick<\/h2>\n

\"\"Kurze Information f\u00fcr schnelle Leser, die mit der Emotet-Malware nichts anfangen k\u00f6nnen. Vor zwei Tagen habe ich im Artikel Achtung: Emotet-Malware-Welle gef\u00e4hrdet deutsche Firmen<\/a> vor einer Malware-Welle mit der Emotet-Malware gewarnt. Kommt nicht von ungef\u00e4hr, da die Hinterm\u00e4nner wohl seit November 2018 verst\u00e4rkte Kampagnen fahren und auch auf deutsche Firmen zielen.<\/p>\n

Die Gruppe hinter dem Trojaner ist seit mindestens 2014 aktiv und fokussierte sich bisher auf Bankkunden. Inzwischen wurde die Malware modifiziert und man greift Infrastrukturanbieter und Firmen in Europa an. <\/p>\n

Emotet wird aktuell durch infizierte Word-Dokumente mit Makros, die als Rechnungen  oder \u00e4hnliches versandt werden, verteilt. Die Texte der Mail variieren, sind teilweise in deutscher Sprache gehalten und sollen den Empf\u00e4nger zum \u00d6ffnen des Anhangs bewegen. Gef\u00e4hrlich ist die ganze Geschichte, da der Trojaner-Teil der Malware die Adressb\u00fccher und Mails eines Opfers auswertet und diese Daten an die Hinterm\u00e4nner weiter leitet. Anschlie\u00dfend wird der Trojaner per Mail (teilweise mit korrekter Ansprache) an weitere Ziele verschickt. Der folgende Screenshot zeigt eine aktuellere Version der Mail, die vom LKA als Beispiel ver\u00f6ffentlicht wurde.<\/p>\n

\"Emotet-Mail-Variante\" <\/p>\n

Falls Makro-Sperren gesetzt sind, versucht der Sch\u00e4dling das Opfer zum \u00d6ffnen des Anhangs zu bewegen. Gelingt es der Malware das Opfer zum Deaktivieren des Office-Makro-Schutzes zu \u00fcberreden, l\u00e4dt die Malware eine Spreader-Komponente nach. Diese ist in der Lage, sich \u00fcber die in Windows existierende (und eigentlich l\u00e4ngst gepatcht geh\u00f6rte) EternalBlue-Schwachstelle \u00fcber das Netzwerk auf andere Computersysteme zu verbreiten. Ich hatte einige Details im Artikel Achtung: Emotet-Malware-Welle gef\u00e4hrdet deutsche Firmen<\/a> zusammen getragen. <\/p>\n

Kraus-Maffei schon seit '2 Wochen' betroffen<\/h2>\n<\/p>\n

Ich bin durch diesen Kommentar<\/a> auf den Fall aufmerksam geworden (danke daf\u00fcr). Die Mitteldeutsche Zeitung berichtet gestern in einer Kurzmeldung \u2013 Basis ist wohl eine kurze DPA-Meldung \u2013 dass das Maschinenbauunternehmen Krauss Maffei (nach eigenen Angaben) Opfer eines Cyberangriff wurde. Die Infektion erfolgte bereits 'vor zwei Wochen' \u2013 der Trojaner scheint Datentr\u00e4ger verschl\u00fcsselt zu haben und das Unternehmen sah sich (laut eigenen Angaben) einer L\u00f6segeldforderung gegen\u00fcber. <\/p>\n

Ein Unternehmenssprecher best\u00e4tigte DPA, dass nach diesem Angriff die Produktion an einzelnen Standorten wegen Ausfall der Rechner stark gedrosselt werden musste. Inzwischen sieht sich das Unternehmen 'auf dem Weg zum Normalzustand'. Den Hinweis auf den Emotet-Trojaner findet man in der FAZ, die hier einen Beitrag<\/a> ver\u00f6ffentlicht haben. Der Bayrische Rundfunk berichtet hier<\/a> nur in allgemeiner Form. <\/p>\n

Das Handelsblatt schreibt in diesem Artikel<\/a>, dass vor allem der Hauptstandort M\u00fcnchen mit seinen 1.800 Mitarbeitern betroffen gewesen sei. Der Angriff wurde demnach am 21. November 2018 bekannt. Das Unternehmen hat dann, laut Bericht, sofort die Verbindungen zu seinen Kunden unterbrochen. Es ist bisher nicht bekannt, dass Kunden oder Lieferanten ebenfalls durch den Tojaner in Mitleidenschaft gezogen wurden.<\/p>\n

Ein paar Spekulationen<\/h2>\n

An dieser Stelle kann man nun lediglich Spekulationen anstellen. Wenn der Netzwerk-Spreader von Emotet auf die EternalBlue-Schwachstelle angewiesen ist, waren m\u00f6glicherweise die an einem Standort des Unternehmens verwendeten Rechner nicht ausreichend gepatcht. Gerade im Bereich der Maschinensteuerung, wo ein Windows 7 zum Einsatz kommt, ist das wohl g\u00e4ngige Praxis (never touch a running system). M\u00f6glicherweise kam der Trojaner \u00fcber Phishing-Mails in das Produktionsnetzwerk \u2013 vielleicht konnte die Infektion auch \u00fcber Netzwerke, an die Externe angebunden sind, stattfinden. Keine Ahnung, ob das jemals bekannt wird. <\/p>\n

Wer ist Kraus-Maffei?<\/h2>\n

Kraus-Maffei hatte ich vor allem mit Panzern und Milit\u00e4rfahrzeugen in Verbindung gebracht \u2013 aber dieser Gesch\u00e4ftszweig geh\u00f6rt wohl zur Kraus-Maffei Wegmann GmbH<\/a>. Ist also eine g\u00e4nzlich andere Baustelle. <\/p>\n

Betroffen ist wohl die Kraus Maffei Group<\/a>, ein Unternehmen mit 5.000 Mitarbeitern, welches von Spritzgie\u00dfmaschinen bis zu Beschnittmaschinen im Bereich Kunststoff und Gummiprodukte sowie Automatisation komplette L\u00f6sungen anbietet. Die Krauss-Maffei-Gruppe wurde im Jahr 2016 vom chinesischen Chemiekonzern China National Chemical Corporation (ChemChina) \u00fcbernommen. <\/p>\n

Wie kann man sich sch\u00fctzen?<\/h2>\n

Abschlie\u00dfend noch ein paar Zeilen zur Frage, was Administratoren in Firmen tun k\u00f6nnen, um die Schutzw\u00e4lle hoch zu fahren. Hier ein paar generelle Hinweise:<\/p>\n