{"id":225773,"date":"2019-12-07T01:13:00","date_gmt":"2019-12-06T23:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225773"},"modified":"2019-12-08T12:31:26","modified_gmt":"2019-12-08T11:31:26","slug":"faq-reagieren-auf-eine-emotet-infektion","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/07\/faq-reagieren-auf-eine-emotet-infektion\/","title":{"rendered":"FAQ: Reagieren auf eine Emotet-Infektion"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=12233\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Der Erpressungstrojaner Emotet bedroht ja quasi jeden Computeranwender. F\u00fcr Unternehmen kann eine Emotet-Infektion quasi das Aus bedeutet. Daher sollte so etwas wie ein Notfallplan existieren, um im Fall der F\u00e4lle auf eine Emotet-Infektion (oder einen Verdacht) zu reagieren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/96e77357b9e044648ca865d90a6ee2d2\" alt=\"\" width=\"1\" height=\"1\" \/>Auch in Japan gibt es seit Oktober 2019 eine wachsende Zahl von Emotet-Infektionen. Daher hat CERT-Japan (JPCERT\/CC) hat eine <a href=\"https:\/\/www.jpcert.or.jp\/english\/at\/2019\/at190044.html\" target=\"_blank\" rel=\"noopener noreferrer\">entsprechende Sicherheitswarnung<\/a> ausgegeben.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\" alt=\"KRITIS-Netzwerk\" \/><br \/>\n(Quelle: Pexels <a href=\"https:\/\/www.pexels.com\/de\/u\/markusspiske\/\" target=\"_blank\" rel=\"noopener noreferrer\">Markus Spiske<\/a> CC0 Lizenz)<\/p>\n<p>Was aber, wenn der Verdacht besteht, dass ein Unternehmen durch Emotet bedroht wird. In einer <a href=\"https:\/\/blogs.jpcert.or.jp\/en\/2019\/12\/emotetfaq.html\" target=\"_blank\" rel=\"noopener noreferrer\">englischsprachigen FAQ<\/a> geht CERT-Japan (JPCERT\/CC) auf verschiedene Fragestellungen ein. Das reicht vom Punkt 'wir haben eine verd\u00e4chtige E-Mail erhalten, was k\u00f6nnen wir tun?' \u00fcber die Frage 'wie finde ich heraus, ob ich durch Emotet infiziert bin' bis hin zu 'wie gehe ich vor, wenn eine Emotet-Infektion stattgefunden hat'. Hier einige stichpunktartige Ausz\u00fcge aus der FAQ.<\/p>\n<h2>Eine verd\u00e4chtige E-Mail ist eingetroffen<\/h2>\n<p>Falls E-Mails mit verd\u00e4chtigem Anhang von bekannten Absendern auftreten, kann eine der folgenden Ursachen der Grund sein:<\/p>\n<ul>\n<li>Das Ger\u00e4t, das f\u00fcr den E-Mail-Versand des Absenders verwendet wird, ist mit Emotet infiziert, und Informationen \u00fcber E-Mails und Kontaktliste wurden gestohlen.<\/li>\n<li>Partner und Benutzer (mit denen Sie E-Mails ausgetauscht haben) wurden mit Emotet infiziert, und ihre Kontaktliste wurde gestohlen.<\/li>\n<\/ul>\n<p>In beiden F\u00e4llen bedeutet dies nicht zwingend, dass der Empf\u00e4nger der b\u00f6sartigen E-Mail mit Emotet infiziert wurde (solange der Anhang mit der Schadsoftware und dem Dropper nicht ausgef\u00fchrt wurde). Es bedeutet aber, dass die E-Mail-Adresse in die Empf\u00e4ngerliste zum Versand von Emotet-Kampagnen aufgenommen wurde.<\/p>\n<blockquote><p>Mails zur Verbreitung von Emotet werden in verschiedenen Sprachen verschickt.<\/p>\n<p>Die Emotet-Hinterm\u00e4nner verwenden dabei eine ganze Reihe gef\u00e4lschter Absenderadressen. In der Mail geht es meist um Zahlungsvorg\u00e4nge und der Empf\u00e4nger wird angehalten, zu pr\u00fcfen, ob das Ganze korrekt ist. Dazu enth\u00e4lt die Mail einen Anhang, der die ben\u00f6tigten Informationen bereitstellen soll. Beim \u00d6ffnen des Anhangs wird der Trojaner aktiv und beginnt mit dem Laden des Schadcodes.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/pbs.twimg.com\/media\/EFxQjKhXkAAPyw_?format=png&amp;name=small\" \/><\/p><\/blockquote>\n<p><strong>Tipp:<\/strong> Wenn man eine verd\u00e4chtige E-Mail mit Anhang von einem bekannten Absender erh\u00e4lt, w\u00e4re die erste M\u00f6glichkeit, diesen Absender zu kontaktieren und einfach nachzufragen, ob die Mail von dort verschickt wurde.<\/p>\n<h2>Pr\u00fcfung: Hat eine Infektion bereits stattgefunden<\/h2>\n<p>In vielen F\u00e4llen \u00f6ffnet der Empf\u00e4nger einer solchen verd\u00e4chtigen Mail leider den E-Mail-Anhang. Sobald ein solcher Fall bekannt wird, hei\u00dft es, von der IT zu pr\u00fcfen, ob die Infektion bereits stattgefunden hat.<\/p>\n<blockquote><p>Eine Anweisung an die Belegschaft k\u00f6nnte sein, bei Verdacht sofort den Computer herunterzufahren. Die IT kann dann vor jeglicher weiteren Aktivit\u00e4t die Netzwerkverbindung des Clients trennen und schauen, ob bereits Dateien auf Netzlaufwerken infiziert wurden.<\/p><\/blockquote>\n<p>Falls eine Mail mit verd\u00e4chtigem Anhang empfangen wurde, ist zu \u00fcberpr\u00fcfen, ob die betreffende Person den Anhang ge\u00f6ffnet hat. Falls ja, ist zu pr\u00fcfen, ob Office-Makros auf dem Ger\u00e4t aktiviert waren. Bei einem erh\u00e4rteten Verdacht sollte der Anhang der Mail beispielsweise auf <a href=\"https:\/\/www.virustotal.com\/gui\/home\/upload\" target=\"_blank\" rel=\"noopener noreferrer\">Virustotal<\/a> zur \u00dcberpr\u00fcfung hochgeladen werden.<\/p>\n<p>M\u00f6glicherweise best\u00e4tigt sich dort, dass der Anhang einen Emotet-Dropper enth\u00e4lt. Zudem ist das Ger\u00e4t mit Antivirus-Software auf Befall mit dem Trojaner zu \u00fcberpr\u00fcfen. Weiterhin lassen sich die Autostart-Eintr\u00e4ge von Windows kontrollieren, ob dort verd\u00e4chtige Eintr\u00e4ge zu finden sind. Details finden sich in <a href=\"https:\/\/blogs.jpcert.or.jp\/en\/2019\/12\/emotetfaq.html\" target=\"_blank\" rel=\"noopener noreferrer\">der FAQ<\/a>.<\/p>\n<h2>Das k\u00f6nnen Administratoren proaktiv tun<\/h2>\n<p>In der FAQ werden weitere Hinweise f\u00fcr einen Befall durch Ransomware genannt. Dazu geh\u00f6rt eine steigende Kommunikationslast \u00fcber bestimmte TCP-Ports. In der FAQ wird auch vorgeschlagen, die Logs der E-Mail-Server und der Firefall\/Proxys auszuwerten. Verd\u00e4chtig sind:<\/p>\n<ul>\n<li>Eine hohe Anzahl von E-Mails, deren HeaderFrom und EnvelopFrom nicht \u00fcbereinstimmen<\/li>\n<li>Eine ungew\u00f6hnliche Zunahme des Volumens an ausgehenden E-Mails<\/li>\n<li>Eine hohe Anzahl von E-Mails mit einem Word-Dateianhang<\/li>\n<\/ul>\n<p>Solche \u00dcberwachungsregeln lassen sich in Systemen zur Advanced Thread Protection (ATP) festlegen.<\/p>\n<h2>Eine Infektion hat stattgefunden<\/h2>\n<p>F\u00fcr den Fall der F\u00e4lle sollte ein Notfallma\u00dfnahmenkatalog im Unternehmen existieren. Dazu geh\u00f6rt beispielsweise:<\/p>\n<ul>\n<li>Das infizierte Ger\u00e4t vom Netzwerk und vom Internet zu isolieren.<\/li>\n<li>Sichern Sie Beweismittel und untersuchen Sie den betroffenen Bereich und bewahren Sie Beweise f\u00fcr das infizierte Ger\u00e4t auf.<\/li>\n<li>\u00dcberpr\u00fcfen Sie die im Ger\u00e4t gespeicherten E-Mails und die E-Mail-Adressen in der Kontaktliste (diese k\u00f6nnen durchgesickert sein).<\/li>\n<li>\u00c4ndern Sie das Passwort von E-Mail-Konten usw., die auf dem infizierten Ger\u00e4t verwendet werden.<\/li>\n<\/ul>\n<p>Im zweiten Schritt ist die Umgebung des infizierten Ger\u00e4ts zu untersuchen, um herauszufinden, ob die Infektion bereits auf andere Rechner im Netzwerk \u00fcbergesprungen ist.<\/p>\n<p>Wurde eine Infektion best\u00e4tigt, sollte ein Notfallplan existieren, in dem die n\u00e4chsten Schritte zum Schutz des Unternehmensnetzwerks, zur Benachrichtigung der relevanten Personen und zur Bek\u00e4mpfung der Infektion griffbereit in der Schublade liegen. Dort sollten ggf. auch die Kontaktadressen von Spezialisten aufgef\u00fchrt sein, die im Fall einer Infektion unterst\u00fctzend hinzugezogen werden k\u00f6nnen.<\/p>\n<p>Vielleicht liefert die <a href=\"https:\/\/blogs.jpcert.or.jp\/en\/2019\/12\/emotetfaq.html\" target=\"_blank\" rel=\"noopener noreferrer\">FAQ<\/a> ja f\u00fcr den einen oder anderen Administrator eine gute Hilfestellung, um einen eigenen Notfallplan f\u00fcr die Unternehmens-IT f\u00fcr Emotet-Infektionen aufzustellen. An dieser Stelle auch nochmals der Hinweis auf den Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/09\/27\/die-it-notfallkarte-des-bsi-fr-kmus\/\">Die IT-Notfallkarte des BSI f\u00fcr KMUs<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/08\/23\/cert-bund-emotet-ist-zurck-cc-server-wieder-aktiv\/\">CERT-Bund: Emotet ist zur\u00fcck, C&amp;C-Server wieder aktiv<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/04\/28\/bsi-warnt-vor-ransomware-angriffen-auf-unternehmen\/\">BSI warnt vor Ransomware-Angriffen auf Unternehmen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/02\/12\/cert-bund-warnt-vor-emotet-mails\/\">CERT-Bund warnt vor Emotet-Mails<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/02\/emotet-trojaner-befall-in-berliner-oberlandesgericht\/\">Emotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/27\/emotet-infektion-an-medizinische-hochschule-hannover\/\">Emotet-Infektion an Medizinischer Hochschule Hannover<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/10\/emotet-cc-server-liefern-neue-schadsoftware-aus\/\">Emotet C&amp;C-Server liefern neue Schadsoftware aus \u2013 Neustadt gerade infiziert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/11\/emotet-trojaner-bei-heise-troy-hunt-verkauft-website\/\">Emotet-Trojaner bei heise, Troy Hunt verkauft Website<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/14\/emotet-zielt-auf-banken-in-dach\/\">Emotet zielt auf Banken in DACH<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Erpressungstrojaner Emotet bedroht ja quasi jeden Computeranwender. F\u00fcr Unternehmen kann eine Emotet-Infektion quasi das Aus bedeutet. Daher sollte so etwas wie ein Notfallplan existieren, um im Fall der F\u00e4lle auf eine Emotet-Infektion (oder einen Verdacht) zu reagieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-225773","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=225773"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225773\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=225773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=225773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=225773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}