Der Trojaner Emotet ist darauf spezialisiert, Schutzbarrieren auszuweichen, immer wieder zuzuschlagen und sich zu vervielfältigen, um maximalen Schaden anzurichten. Dabei ist die Malware dank ständiger Updates, modularem Design und der Fähigkeit, verschiedenste Techniken zur Netzwerkunterwandung anzuwenden, für IT-Sicherheitsspezialisten besonders schwierig zu enttarnen.
Innerhalb seiner fünfjährigen Lebenszeit hat sich Emotet von einem „normalen“ Trojaner, der still und heimlich Bankdaten seiner Opfer entwendete, zu einer extrem raffinierten und breit gestreuten Plattform für die Verbreitung anderer Schadsoftware mit unterschiedlichsten Zielen entwickelt, die meist im Gepäck von Spam-Kampagnen anreist. In diesem Jahr waren das z.B. die beiden Banktrojaner TrickBot und Qbot, es gibt aber auch Verbindungen zu BitPaymer – eine hoch entwickelte Ransomware-Familie, die sechsstellige Summen erpresst.
Ende 2018 bewertete das BSI Emotet als „…ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt.“ (Quelle: BSI)
„Emotet ist weiterhin eine sehr gefährliche Bedrohung und die Auseinandersetzung mit dem Thema ist eine der größten Herausforderungen für Sys-Admins und Threat-Hunter“, ruft Michael Veit, Security Evangelist bei Sophos, ins Bewusstsein. „Vor diesem Hintergrund und angesichts der bisherigen Emotet-Schäden, die wir in unserer täglichen Arbeit erlebt haben, muss Prävention das erste Mittel der Abwehr sein. Und zwar konsequent umgesetzt.“
- Sicherung ALLER Geräte
Auch wenn Emotet zunächst einmal auf nicht gesicherte Geräte in einem Netzwerk begrenzt ist, wird die Schadsoftware ständig versuchen, auszubrechen und dabei ihre große Anpassungsfähigkeit nutzen. Je länger Emotet diese Versuche durchlaufen darf, desto höher ist die Wahrscheinlichkeit, dass es durch seine Modulation eine Lücke in der Abwehr findet, ausbricht und sich im gesamten Netzwerk verbreitet.
„Man kann unmöglich vorhersagen, worin letztendlich die entscheidende Lücke besteht“, so Veit, „es kann beispielsweise ein neuer Exploit oder eine Mutation sein, die Emotet vor Signatur-basiertem Anti-Virus temporär versteckt. Entsprechend sind moderne Abwehrtechnologien wie Deep Learning oder Exploit Prevention entscheidend.“
- Patchen: so früh und oft wie möglich
Ein Negativbeispiel: Der SMB Exploit EternalBlue wurde 2017 durch WannaCry und NotPetya bekannt. Man kann fast nicht glauben, dass trotz dieser weltweiten Berichterstattung und fast zwei Jahre nachdem Microsoft sein Sicherheits-Bulletin MS17-010 ankündigte, das Patches zum Schutz davor beinhielt, die Schadsoftware immer noch profitablen Nutzer dieses Exploits macht. Einer dieser Malware-Parasiten, die Emotet sehr gern einschleppt, ist TrickBot. Lerneinheit aus diesem Beispiel: Patchen. Sofort, bitte.
- PowerShell als Standardeinstellung blockieren
- Mitarbeiter erhält Email mit Word-Dokument im Anhang
- Mitarbeiter öffnet Word-Dokument und wird in ein Makro hineingelockt
- Makro löst die PowerShell aus, die Emotet herunterlädt
- Emotet-Infektion beginnt
Weitere Informationen zur Abwehr von Emotet und TrickBot gibt Sophos hier.