Emotet Virus Erkennen

Emotet Virus erkennen und sich davor schützen

Lesen Sir hier wie sie den Emotet Virus erkennen und wie sich sich effektiv gehen ihn schützen können, damit Ihr Unternehmen als auch jeder Einzelne besser vor Betrügern im Netz geschützt ist.

Das US-CERT bezeichnet den Emotet Virus als die aktuell wahrscheinlich am meisten zerstörerische Schad-Software. Mit gutem Grund.

Die Kriminellen hinter dem Emotet Virus haben Cyber-Kriminalität auf ein neues Niveau gehoben.

Das Ziel von Emotet ist vor allem Opfer bei denen Geld zu holen ist. Dazu gehören zum Beispiel Firmen, Behörden aber auch andere Institutionen.

Wie funktioniert der Emotet Virus?

Es handelt sich um einen Advanced Persistent Threat (fortgeschrittene, andauernde Bedrohung). Darunter versteht man eine sehr komplexe und zielgerichtete Cyber-Attacke.

Bei klassischen Hacker-Angriffen (zum Beispiel mittels Viren oder Botnetzen), wird die Auswahl der Opfer eingegrenzt. Bei ATP Attacken wird nur ein bestimmtes Opfer bzw. bestimmte Opfergruppe angegriffen.

Welche Folgen hat eine Infizierung mit dem Emotet Virus?

Durch das sogenannte „Outlook-Harvesting“ kann Emotet authentisch aussehende Mails verschicken. Die Schadsoftware liest Kontaktbeziehungen und E-Mails aus den Postfächern bereits mit dem Trojaner infizierter Systeme aus.

Diese Informationen werden automatisch zur Weiterverbreitung genutzt. Die Empfänger erhalten fingierte Mails von Absendern, mit denen sie vor kurzem in Kontakt standen.

Emotet Virus bei Heise

Die Nachrichten-Webseite Heise, erlitt einen schwerwiegenden Emotet Virus Angriff.

Ein Mitarbeiter öffnete eine Mail, die auf einen zitierten, tatsächlichen Geschäftsvorgang Bezug nahm. Die Mail stammte scheinbar von einem Geschäftspartner. Sie forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und gegebenenfalls zu ändern.

Beim Öffnen des Dokuments öffnete sich eine Fehlermeldung, mit der Aufforderung, „Enable Editing“ anzuklicken.

Dieser Aufforderung kam der Heise Mitarbeiter nach. Er erkannte nicht, dass die Datei mit einem Virus infiziert war.

Und schon ging es los.

Infektion und Entwicklung des Emotet Virus

Im Hintergrund infizierte Emotet das Windows-System und begann sofort, sein Unwesen im Heise-Netz zu treiben. Es kam zunächst zu kleinen Infektionen, die von den eingesetzten Antiviren-Software (Avira und Windows Defender) erkannt wurden.

Die Administratoren reinigten diese Systeme. Sie waren zunächst der Meinung, das Problem damit gelöst zu haben.

Tage später fielen Verbindungen zu bekannten Emotet-Servern in den Firewall-Logs auf. Etliche Rechner kommunizierten über seltsame Verbindungen, etwa auf TCP-Port 449 nach draußen.

Höchste Alarmstufe!

Ein Admin fand heraus, dass es zu diesem Zeitpunkt bereits verdächtige Zugriffe auf den Domain Controller des Active Directory gab. Das ist der Verzeichnisdienst, der in Windows-Netzen unter anderem die Zugangsberechtigungen verwaltet.

Die Administratoren versuchten, die Kommunikation mit der Emotet-Kommandoinfrastruktur zu unterbinden.

Das erwies sich als unmöglich.

Es kamen immer neue Emotet-Connections hinzu. Die Admins entschieden sich für einen kompletten Lockdown. Die Internet-Verbindung für alle betroffenen Netze wurde vollständig geschlossen. Externe Hilfe wurde hinzugezogen.

Mehrere Forensiker und Incident-Response-Spezialisten arbeiteten gemeinsam mit den Heise IT Mitarbeitern daran, die Vorgänge aufzuklären. Das Ziel: Den normalen IT-Betrieb wieder aufzunehmen, ohne dabei die Systeme erneut mit dem Emotet Virus zu identifizieren.

Das Sicherheitskonzept wurde geprüft und Konzepte erarbeitet, die eine solche IT-Katastrophe zukünftig verhindern sollen.

Empfohlene Maßnahmen der Initiative Wirtschaftsschutz vom Bundesamt für Verfassungsschutz:

  • Regelmäßige Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links.
  • Auch bei vermeintlich bekannten Absendern Dateianhänge oder Links bzw. über diese heruntergeladene Dateien, im Zweifel nur nach Rücksprache mit dem Absender öffnen (insbesondere keine Office-Dokumente).
  • Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
  • Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
  • Einsatz zentral administrierter AV-Software. Regelmäßige prüfen, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
  • Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test des Rückspielens von Daten.
  • Regelmäßiges manuelles Monitoring von Logdaten. Idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
  • Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.

Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.

Was tun, wenn in meiner Organisation bereits IT-Systeme von Emotet infiziert sind?

  • Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, insbesonders nicht das Netzkabel (Strom) ziehen. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
  • Keinesfalls privilegierten Nutzerkonten auf einem potenziell infizierten System anmelden, während es sich noch im produktiven Netzwerk befindet.
  • Auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet die Passwörter ändern.
  • Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.
  • Melden Sie den Vorfall – ggf. anonym – beim BSI (Bundesamt für Sicherheit in der Informationstechnik). Diese Informationen sind Voraussetzung für ein klares IT-Lagebild. Sie sind für eine frühzeitige Warnung potenziell später Betroffener durch das BSI von hoher Bedeutung.
  • Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des “Stillstands”. Sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern. Vor allem wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) informieren. Dies sensibilisiert den Mitarbeiter für den Neuanlauf inkl. der notwendigen Informationen.
  • Geschäftspartnern/Kunden über den Vorfall informieren mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation.

Sharing is caring!

Wie Sie sich vor dem Emotet Virus schützen können:

  • Umfeld über die Infektion informieren, speziell letzte Konversationspartner.
  • Am mit dem Virus Infizierten Rechner, etwa in Browsern usw. gespeicherte Zugangsdaten löschen.
  • Den Infizierten Rechner ganz neu aufsetzen. Dann das Betriebssystem komplett neu installieren, da vom Trojaner die nachgeladene Schadsoftware teils tiefgreifende und sicherheitsrelevante Änderungen am System vornimmt.

Technische Schutzmaßnahmen gegen den Emotet Virus

Die Bistol group Deutschland empfiehlt folgende technische Maßnahmen um sich vor dem Emotet Virus zu schützen.

Maßnahmen um sich vor dem gefährlichen Emotet Virus zu schützen: https://bit.ly/2uo0n01 #Emotet #ITSicherheit Share on X

Maßnahmen um sich vor dem gefährlichen Emotet Virus zu schützen: https://bit.ly/2uo0n01 #Emotet #ITSicherheit

Checkpoint Firewall (R80.x):

Threat Emulation, Threat Extraction:

Bei dieser Funktion wird entweder eine lokale TE Appliance, oder in der Cloud eine Datei innerhalb von verschiedenen Betriebssystem-Umgebungen simuliert.

Es wird ein Hashwert von der Datei gebildet und in der ThreatCloud von CheckPoint bzw. dem lokalen Cache angefragt, ob dieser Hashwert bereits bekannt ist. Wenn der Hashwert der Datei unbekannt ist, wird Sie in die Emulation hochgeladen.

Anhand des Ergebnisses wird die Datei geblockt oder freigegeben. Wenn Threat Extraction aktiviert ist, kann die gefährliche Datei gefiltert und zugestellt werden.

Die Bristol Group Deutschland bietet individuelle Workshops zum Thema #Emotet Virus erkennen und entfernen. https://bit.ly/2uo0n01 Share on X

Quellen und weiterführende Informationen

Emotet Beispiel Heise:
Hier die ganze Story wie Emotet bei Heise wütete und wie das Unternehmen darauf reagierte. Wichtigste Lehre daraus: Es kann jeden treffen, auch Sie.

E-Mail Sicherheit – Initiative Wirtschaftsschutz vom Bundesamt für Verfassungsschutz:
Ausführliches PDF mit empfohlenen Schutzmaßnahmen gegen Angriffe über E-Mails.

Empfehlungen vom BSI (Bundesamt für Sicherheit in der Informationstechnik.
Empfehlungen wie man sich vor dem Emotet Trojaner schützen kann und was sie tun sollten, wenn Ihr System vom Virus befallen ist.

Emotet entfernen
Ausführliche Anleitung wie Sie den Emotet Virus entfernen. Entfernen Sie Emotet mit „Safe Mode with Networking“ oder mit „System Restore“.