{"id":226391,"date":"2019-12-21T13:30:23","date_gmt":"2019-12-21T12:30:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226391"},"modified":"2023-04-12T03:09:25","modified_gmt":"2023-04-12T01:09:25","slug":"cert-bund-bsi-warnung-vor-emotet-trojaner-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/21\/cert-bund-bsi-warnung-vor-emotet-trojaner-ransomware\/","title":{"rendered":"CERT-Bund\/BSI-Warnung vor Emotet-Trojaner\/Ransomware"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/12\/21\/cert-bund-bsi-warnung-vor-emotet-trojaner-ransomware\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Die letzten Tage gab es ja eine Reihe von Meldungen \u00fcber Cyber-Vorf\u00e4lle in deutschen Einrichtungen, die dem Emotet-Trojaner\/Ransomware zugeschrieben werden. Das BSI warnt vor der Gefahr, zumal Spam-Mail 'im Namen der Bundesbeh\u00f6rden' mit diesem Sch\u00e4dling im Gep\u00e4ck verschickt werden.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/819b02d85a50452aafd0127a46fb13e5\" alt=\"\" width=\"1\" height=\"1\" \/>Die letzten F\u00e4lle hatte ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/12\/20\/trojanerbefall-in-stadt-bad-homburg-und-hochschule-freiburg\/\">Trojanerbefall in Stadt Bad Homburg und Hochschule Freiburg<\/a> thematisiert. Aber auch Frankfurt oder die Uni Gie\u00dfen sind befallen worden \u2013 wobei die Infektion in Frankfurt wohl glimpflich ablief. In nachfolgendem Tweet macht CERT-Bund auf die Gefahr durch eine Infektion mit dem Trojaner Emotet aufmerksam.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">\u26a0\ufe0fBeware of <a href=\"https:\/\/twitter.com\/hashtag\/Emotet?src=hash&amp;ref_src=twsrc%5Etfw\">#Emotet<\/a> &#8211; currently one of the most dangerous botnets in operation. <a href=\"https:\/\/twitter.com\/hashtag\/certbund?src=hash&amp;ref_src=twsrc%5Etfw\">#certbund<\/a> once again became aware of several high profile victims.<\/p>\n<p>\u203c\ufe0f Don't be the next \u203c\ufe0f<\/p>\n<p>\u2014 CERT-Bund (@certbund) <a href=\"https:\/\/twitter.com\/certbund\/status\/1206577491281895424?ref_src=twsrc%5Etfw\">December 16, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Trojaner kann nach einer Infektion des Windows-Systems beliebige Schadsoftware nachladen und wandelt st\u00e4ndig seine Signaturen und Angriffsvarianten. Im Artikel <a href=\"https:\/\/www.heise.de\/security\/meldung\/Malware-Emotet-Neuer-Dreh-sorgt-fuer-erneute-Infektionswelle-4617077.html\" target=\"_blank\" rel=\"noopener noreferrer\">Malware Emotet: Neuer Dreh sorgt f\u00fcr erneute Infektionswelle<\/a> berichtet heise beispielsweise, dass die Hinterm\u00e4nner dazu \u00fcbergehen, den Trojaner nicht mehr in Mail-Anh\u00e4ngen auszuliefern. Vielmehr wird ein Link auf kompromittierte Webseiten per Mail verschickt. Auf den Seiten wartet dann ein Drive-by Downloader oder der Nutzer wird zum Download eines Emotet-Trojaners \u00fcber eine Datei gebracht.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\" alt=\"KRITIS-Netzwerk\" \/><br \/>\n(Quelle: Pexels <a href=\"https:\/\/www.pexels.com\/de\/u\/markusspiske\/\">Markus Spiske<\/a> CC0 Lizenz)<\/p>\n<h2>Fies: Deutsche Beh\u00f6rden infiziert<\/h2>\n<p>In <a href=\"https:\/\/web.archive.org\/web\/20221223003436\/https:\/\/www.heise.de\/security\/meldung\/Vorsicht-vor-Spam-Mails-Behoerden-der-Bundesverwaltung-mit-Emotet-infiziert-4619153.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag thematisiert<\/a> heise eine recht frische Warnung des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Auch die <a href=\"https:\/\/www.sueddeutsche.de\/digital\/emotet-schadsoftware-bsi-1.4728441\" target=\"_blank\" rel=\"noopener noreferrer\">S\u00fcddeutsche Zeitung<\/a> sowie Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/attackers-posing-as-german-authorities-distribute-emotet-malware\/\" target=\"_blank\" rel=\"noopener noreferrer\">hat es thematisiert<\/a>. Dem BSI wurden laut Bericht mehrere best\u00e4tigte Emotet-Infektionen in Beh\u00f6rden der Bundesverwaltung gemeldet.<\/p>\n<p><img decoding=\"async\" title=\"BSI-Warnung\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/1109292\/December%202019\/BSI.png\" alt=\"BSI-Warnung\" \/><br \/>\n(Quelle: Bleeping Computer)<\/p>\n<p>Die dabei kopierten Daten nutzen die unbekannten Angreifer derzeit daf\u00fcr, um betr\u00fcgerische E-Mails mit gef\u00e4hrlichen Dateianh\u00e4ngen oder Links im Namen mehrerer Bundesbeh\u00f6rden zu verschicken. Auch Greta Thunberg wird als K\u00f6der in Spam-Mail missbraucht, wie <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/emotet-malware-uses-greta-thunberg-demonstration-invites-as-lure\/\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Beitrag<\/a> und dieser <a href=\"https:\/\/www.heise.de\/meldung\/Fake-Demonstrations-Aufruf-per-Mail-Emotet-setzt-zur-Ausbreitung-auf-Klimakrise-4620870.html\" target=\"_blank\" rel=\"noopener noreferrer\">heise-Artikel<\/a> verraten \u2013 und die Cyber-Kriminellen passen ihre Strategie st\u00e4ndig an \u2013 Bleeping Computer hat es <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/emotet-gang-changes-tactics-ahead-of-the-winter-holidays\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier thematisiert<\/a>.<\/p>\n<h2>Infektion im Vorfeld verhindern<\/h2>\n<p>Administratoren in Firmenumgebungen sollten Ma\u00dfnahmen ergreifen, um Infektionsvektoren zu blockieren. Hier eine Empfehlung von CERT-Bund:<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Biggest impact recommendations for SOCs, CERTs, and CSIRTs on how to block Emotet malspam\u00b9:<br \/>\nBlock macro office docs &amp; emails w\/ known bad URLs ASAP + Use URLhaus ClamAV signatures + Block known Emotet C&amp;C communication.<\/p>\n<p>\u00b9 Provided by <a href=\"https:\/\/twitter.com\/abuse_ch?ref_src=twsrc%5Etfw\">@abuse_ch<\/a> via <a href=\"https:\/\/t.co\/rrsakWK7Dt\">https:\/\/t.co\/rrsakWK7Dt<\/a><\/p>\n<p>\u2014 CERT-Bund (@certbund) <a href=\"https:\/\/twitter.com\/certbund\/status\/1206577492993216520?ref_src=twsrc%5Etfw\">December 16, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Aber auch der nachfolgende Tweet aus den USA gibt Hinweise, dass Infektionen auch \u00fcber USB-Ger\u00e4te erfolgenden k\u00f6nnen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">I think the City of New Orleans learned the lesson <a href=\"https:\/\/twitter.com\/hashtag\/WeaponizedUSBdevices?src=hash&amp;ref_src=twsrc%5Etfw\">#WeaponizedUSBdevices<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/MaliciousUSBimplants?src=hash&amp;ref_src=twsrc%5Etfw\">#MaliciousUSBimplants<\/a><a href=\"https:\/\/twitter.com\/hashtag\/WHIDelite?src=hash&amp;ref_src=twsrc%5Etfw\">#WHIDelite<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/WHIDinjector?src=hash&amp;ref_src=twsrc%5Etfw\">#WHIDinjector<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/USBsamurai?src=hash&amp;ref_src=twsrc%5Etfw\">#USBsamurai<\/a> <a href=\"https:\/\/t.co\/B97da2B6uU\">pic.twitter.com\/B97da2B6uU<\/a><\/p>\n<p>\u2014 WHID Injector (@WHID_Injector) <a href=\"https:\/\/twitter.com\/WHID_Injector\/status\/1206653595787169793?ref_src=twsrc%5Etfw\">December 16, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Um die Sch\u00e4den im Fall einer Infektion m\u00f6glichst klein zu halten, sollten Sachbearbeiter und Computerbenutzer \u00fcber Notfall-Hinweise verf\u00fcgen, wie beim Verdacht einer Infektion zu handeln ist. Im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/12\/15\/sicherheitsrckblick-15-dez-2019\/\">Sicherheitsr\u00fcckblick (15. Dez. 2019)<\/a> hatte ich berichtet, dass der Verzicht auf einen Neustart angeraten wird. Zudem haben ich in nachfolgender Linkliste auf das Thema IT-Notfallkarte sowie FAQs f\u00fcr Emotet-Infektionen hingewiesen. Admins und IT-Verantwortliche in Firmen m\u00fcssen also pr\u00e4ventiv t\u00e4tig werden, um den Menschen als Schwachstelle weiter zu bilden.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/08\/23\/cert-bund-emotet-ist-zurck-cc-server-wieder-aktiv\/\">CERT-Bund: Emotet ist zur\u00fcck, C&amp;C-Server wieder aktiv<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/04\/28\/bsi-warnt-vor-ransomware-angriffen-auf-unternehmen\/\">BSI warnt vor Ransomware-Angriffen auf Unternehmen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/02\/12\/cert-bund-warnt-vor-emotet-mails\/\">CERT-Bund warnt vor Emotet-Mails<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/02\/emotet-trojaner-befall-in-berliner-oberlandesgericht\/\">Emotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/27\/emotet-infektion-an-medizinische-hochschule-hannover\/\">Emotet-Infektion an Medizinischer Hochschule Hannover<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/10\/emotet-cc-server-liefern-neue-schadsoftware-aus\/\">Emotet C&amp;C-Server liefern neue Schadsoftware aus\u2013Neustadt gerade infiziert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/11\/emotet-trojaner-bei-heise-troy-hunt-verkauft-website\/\">Emotet-Trojaner bei heise, Troy Hunt verkauft Website<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/14\/emotet-zielt-auf-banken-in-dach\/\">Emotet zielt auf Banken in DACH<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/08\/23\/ransomware-befall-in-drk-einrichtungen-einfallstor-bekannt\/\">Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2019\/12\/19\/stadt-frankfurt-opfer-eines-cyber-angriffs-19-12-2019\/\">Stadt Frankfurt\/Main Opfer eines Cyber-Angriffs (19.12.2019)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/18\/neues-zum-virenbefall-der-uni-gieen\/\">Neues zum Virenbefall der Uni Gie\u00dfen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/09\/uni-gieen-sicherheitsvorfall-legt-it-systeme-lahm\/\">Uni Gie\u00dfen: Sicherheitsvorfall legt IT-Systeme lahm<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/13\/klinikum-frth-wegen-trojaner-offline\/\">Klinikum F\u00fcrth wegen Trojaner offline<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/19\/klinikum-frth-im-betrieb-zurck-uni-gieen-nutzt-desinfect\/\">Klinikum F\u00fcrth im Betrieb zur\u00fcck, Uni Gie\u00dfen nutzt Desinfec't<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/20\/trojanerbefall-in-stadt-bad-homburg-und-hochschule-freiburg\/\">Trojanerbefall in Stadt Bad Homburg und Hochschule Freiburg<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/15\/sicherheitsrckblick-15-dez-2019\/\">Sicherheitsr\u00fcckblick (15. Dez. 2019)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2019\/09\/27\/die-it-notfallkarte-des-bsi-fr-kmus\/\">Die IT-Notfallkarte des BSI f\u00fcr KMUs<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/07\/faq-reagieren-auf-eine-emotet-infektion\/\">FAQ: Reagieren auf eine Emotet-Infektion<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die letzten Tage gab es ja eine Reihe von Meldungen \u00fcber Cyber-Vorf\u00e4lle in deutschen Einrichtungen, die dem Emotet-Trojaner\/Ransomware zugeschrieben werden. Das BSI warnt vor der Gefahr, zumal Spam-Mail 'im Namen der Bundesbeh\u00f6rden' mit diesem Sch\u00e4dling im Gep\u00e4ck verschickt werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-226391","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226391","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=226391"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226391\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=226391"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=226391"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=226391"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}