Published On: November 25, 2021

Emotet schlägt wieder zu

Gefährdet sind mit TrickBot infizierte Rechner

Das Bundeskriminalamt (BKA) nennt es die „gefährlichste Schadsoftware der Welt“

Nicht einmal ein Jahr ist vergangen, seit Emotet im Januar 2021 von den Behörden offiziell abgeschaltet wurde, als der Sicherheitsforscher Brad Duncan seine Rückkehr meldete. Es gibt Hinweise darauf, dass seit dem 15. November die Spam-Kampagnen eines der gefährlichsten und erfolgreichsten Trojaner wieder im Einsatz sind, um seine schädlichen Codes in Unternehmen einzuschleusen und sogar die Einfallstore für Ransomware zu öffnen.

Die Angreifer tarnen die Spam-Mails oft als normale E-Mails über Zahlungen oder sogar als Antwort auf eine frühere E-Mail. Sobald jedoch die infizierten Anhänge oder Links auf kompromittierten Dokumenten geöffnet werden, dringt Emotet mithilfe von PowerShell und bösartigen Makros oder JavaScript in den Speicher ein. Tipps, auf welche Dateien Sie achten sollten, finden Sie z.B. bei Malwarebytes und Brad Duncans Blogbeitrag.

Die Entwicklung von Emotet

Als er 2014 auftauchte, war Emotet in erster Linie ein Banking-Trojaner, der private Daten stiehlt und sich mit seinen wurmartigen Fähigkeiten auf alle Computer in einem Netzwerk verbreitet. In den Jahren 2016 und 2017 entwickelte er sich jedoch zu einer der kostspieligsten Spam- und Malware-Bedrohungen, die es sogar anderen kriminellen Programmen wie TrickBot oder Qbot ermöglichte, ihre Ransomware in bereits infizierte Rechner einzuschleusen.

Im Januar 2021 schaltete das Bundeskriminalamt (BKA) gemeinsam mit Strafverfolgungsbehörden aus sieben weiteren Ländern die „gefährlichste Schadsoftware der Welt“, wie sie es selbst nannten, aus. Doch die Freude währte nicht lange. Am 15. November stieß der Sicherheitsforscher Brad Duncan auf Anzeichen für die Rückkehr von Emotet, als Rechner, die bereits mit TrickBot infiziert waren, begannen, Emotet-Dateien herunterzuladen. Es folgten auch die bekannten Emotet-Spam-Kampagnen, bei denen die bösartigen Makros in einem Word- oder Excel-Dokument oder in einer gezippten Word-Datei versteckt waren, die ein Kennwort erfordert.

Emotet

Gibt es einen Schutz, der wirklich wirksam ist?

Was bedeutet die Rückkehr dieser extrem gefährlichen Malware für Unternehmen? Zunächst einmal müssen sie ihre Systeme sichern, um Emotet erkennen zu können. Denn auch wenn im Moment nur mit TrickBot infizierte Computer bedroht sind, ist es sehr wahrscheinlich, dass sich der Mechanismus der Angriffe weiterentwickelt und alle in Gefahr bringt. Wie das Bundeskriminalamt selbst empfiehlt, besteht die wirksamste Prävention darin, unsignierte Makros einzuschränken.

Mit iQ.Suite gegen Emotet

GBS ist seit 30 Jahren ein führender Anbieter von E-Mail-Sicherheitslösungen. Unsere Experten widmen sich der Entwicklung von Lösungen, die das Risiko bestehender und zukünftiger Bedrohungen beseitigen. iQ.Suite, das führende E-Mail-Sicherheitsprodukt von GBS, und seine As-a-Service-Version für die Cloud iQ.Suite aaS bieten umfassenden Schutz vor einer breiten Vielzahl von Angriffsarten. Das Convert-Modul der iQ.Suite kann allein oder in Kombination mit Watchdog und Wall verwendet werden, um potenzielle Bedrohungen zu neutralisieren. Das Modul folgt einem dreistufigen Prozess zum Schutz vor Trojanern und anderer Malware und konvertiert die bösartigen E-Mail-Anhänge, um sie zu entschärfen.

    • Schritt 1: Erkennung gefährlicher Inhalte

In Kombination mit Watchdog kann iQ.Suite Convert schädliche Dateien erkennen. Convert entfernt dann die potenziell gefährlichen Makros und liefert die bereinigte Datei an den Empfänger.

    • Schritt 2: Konvertierung in PDF, um Makros zu entfernen

E-Mails mit potenziell gefährlichen Office-Dokumenten können mit iQ.Suite Convert zunächst angehalten und ins PDF-Format umgewandelt werden. Der Empfänger erhält den ursprünglichen Anhang als PDF-Datei. Dadurch stellt aktiver Schadcode nun keine Bedrohung mehr dar. Später kann mit iQ.Suite Watchdog der originale E-Mail-Anhang einer erneuten Virus-Prüfung unterzogen werden. Aktiver bösartiger Code stellt keine Bedrohung mehr dar. Wird die Datei dann als ungefährlich bewertet, erfolgt die Zustellung an den Empfänger im ursprünglichen Format.

    • Schritt 3: Zentralisierte Komprimierung, um Speciherplatz zu sparen

Der Versand und Empfang von E-Mail-Anhängen, insbesondere bei großen Dateien belastet die Netzwerk-Infrastruktur in Unternehmen. Zusätzlich wird wertvoller Speicherplatz belegt. Anhand flexibler Regeln werden E-Mail-Anhänge zentral auf dem Server komprimiert und in das ZIP-Format umgewandelt. Dies führt zu kleineren Mailboxen und verbesserter Leistungsfähigkeit Ihrer E-Mail-Infrastruktur.

Egal, ob Sie sich für die iQ.Suite entscheiden oder andere Maßnahmen ergreifen, es ist wichtig, eine starke E-Mail-Sicherheit zu implementieren. Denn darauf zu vertrauen, dass es Ihnen nicht passieren wird, ist gefährlicher als der König der Malware Emotet.