{"id":230410,"date":"2020-04-05T00:16:00","date_gmt":"2020-04-04T22:16:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230410"},"modified":"2020-04-04T09:38:14","modified_gmt":"2020-04-04T07:38:14","slug":"emotet-kann-computer-im-netzwerk-berhitzen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/05\/emotet-kann-computer-im-netzwerk-berhitzen\/","title":{"rendered":"Emotet-Trojaner kann Computer im Netzwerk &uuml;berlasten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=13957\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Eine Infektion mit der Schadsoftware Emotet kann ein ganzes Unternehmensnetzwerk ausbremsen, weil die CPUs von Windows-Ger\u00e4ten maximal ausgelastet werden und so den Netzwerkverkehr nahezu zum Erliegen bringen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/56d2d1e2f8564887ab69d0fb82db783c\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft hat diesen Fall wohl \u00f6ffentlich gemacht. Nachdem ein Mitarbeiter dazu gebracht wurde, einen Phishing-E-Mail-Anhang zu \u00f6ffnen, entfaltete Emotet seine Wirkung. Durch die Emotet-Infektion wurde das gesamte Netzwerk eines Unternehmens beeintr\u00e4chtigt. Der Sch\u00e4dling lastete die CPUs der Windows-System maximal aus, so dass die Internetverbindung nur noch einen geringen Datendurchsatz erreichte.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Microsoft: Emotet Took Down a Network by Overheating All Computers &#8211; by <a href=\"https:\/\/twitter.com\/serghei?ref_src=twsrc%5Etfw\">@serghei<\/a><a href=\"https:\/\/t.co\/1cPHPNfi3e\">https:\/\/t.co\/1cPHPNfi3e<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1246156926234365956?ref_src=twsrc%5Etfw\">April 3, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ich bin \u00fcber den obigen Beitrag von Bleeping Computer auf den Fall aufmerksam geworden, den Microsoft in <a href=\"http:\/\/www.documentcloud.org\/documents\/6824920-Full-Operational-Shutdown-Another-Cybercrime.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Dokument<\/a> offen legt.<\/p>\n<h2>Ein Fall aus der Praxis<\/h2>\n<p>Microsoft benennt die Firma, die Opfer einer Emotet-Infektion wurde, in seiner Fallstudie mit dem fiktiven Namen Fabrikam. Nachdem ein Mitarbeiter dazu gebracht wurde, einen Phishing-E-Mail-Anhang zu \u00f6ffnen, begann die Malware Routinen f\u00fcnf Tage nach der ersten Infiltration die eigentliche Malware vom Command-and-Control-Server (C&amp;C) des Angreifers herunterzuladen.<\/p>\n<h3>Verz\u00f6gerung von 5 Tagen, Zugangsdaten erbeutet<\/h3>\n<p>Zuvor nutzten die Angreifer die gestohlenen Zugangsdaten, um Phishing-E-Mails an andere Fabrikam-Angestellte sowie an ihre externen Kontakte zu senden. In Folge wurden immer mehr Systeme infiziert und es konnten zus\u00e4tzliche Malware-Nutzlasten heruntergeladen und auf den Rechnern installiert werden.<\/p>\n<p>Die Malware verbreitete sich dann \u00fcber das gesamte Netzwerk, ohne dass es bemerkt wurde. Der Emotet-Trojaner erbeutete Anmeldeinformationen f\u00fcr die Administratorkonten, mit denen sich Administratoren auf neuen Systemen authentifizierten. Diese Anmeldeinformationen wurden sp\u00e4ter f\u00fcr die Infektion anderer Systeme verwendet.<\/p>\n<h3>Nach 8 Tagen ging nichts mehr<\/h3>\n<p>Innerhalb von acht Tagen seit dem \u00d6ffnen des ersten Malware-Anhangs wurde das gesamte Netzwerk von Fabrikam, trotz der Bem\u00fchungen der IT-Abteilung, in die Knie gezwungen. Die Windows-Systemen st\u00fcrzten mit Blue Screens ab, weil die CPUs \u00fcberhitzen. Dadurch blieben die System entweder stehen oder wurden neu gestartet. Die Internetverbindungen\u00a0 wurden, weil Emotet die gesamte Bandbreite belegte, quasi auf Null Durchsatz gedrosselt.<\/p>\n<p>Als die letzte Maschine mit einem Blue Screen in die Knie ging, wurde den IT-Leuten bewusst, dass die Infektion au\u00dfer Kontrolle geraten war, schreibt Microsoft in <a href=\"https:\/\/www.documentcloud.org\/documents\/6824919-Case-Study-Full-Operational-Shutdown-DART.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Dokument<\/a>. Es scheint, dass es sich bei dem Fall um den von ZDNet <a href=\"https:\/\/www.zdnet.com\/article\/microsoft-how-one-emotet-infection-took-out-this-organizations-entire-network\/\" target=\"_blank\" rel=\"noopener noreferrer\">beschriebenen Angriff<\/a> auf die US-Stadt Allentown, Pennsylvania, handelt. Dieser Fall wurde im Februar 2018 bekannt.<\/p>\n<p>Der B\u00fcrgermeister, Ed Pawlowski, gab an, dass die Stadt fast 1 Million Dollar an Microsoft zahlen m\u00fcsse, um ihre Systeme von der Infektion zu s\u00e4ubern. Zuerst hat die Stadt 185.000 Dollar gezahlt, um die Ransomware einzud\u00e4mmen. Hinzu kommen zus\u00e4tzliche Kosten in H\u00f6he von von bis zu 900.000 Dollar, f\u00fcr die Wiederherstellung der Systeme. Weitere Details sind in den verlinkten Artikeln nachzulesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Eine Infektion mit der Schadsoftware Emotet kann ein ganzes Unternehmensnetzwerk ausbremsen, weil die CPUs von Windows-Ger\u00e4ten maximal ausgelastet werden und so den Netzwerkverkehr nahezu zum Erliegen bringen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-230410","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230410","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230410"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230410\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230410"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230410"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230410"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}