23.12.2019

Was ist Emotet und wie kann ich mich schützen?

Funktionsweise des Trojaners und vorbeugende Tipps

Sie kennen Emotet bzw. haben darüber in den Medien gelesen? Immer mehr Meldungen erreichen auch unser Security-Team. Emotet pflegt seinen eigenen Adventskalender und öffnet scheinbar aktuell jeden Tag gleich mehrere Türen und legt danach alles lahm, was es befällt: Unternehmen, Hilfsorganisationen, Vereine und ganze Städte sind offline.

Ein Beispiel ist die Stadt Frankfurt: https://www.fr.de/frankfurt/frankfurt-emotet-it-probleme-homburg-faehrt-systeme-runter-zr-13354472.html

Was ist aber Emotet? 

Emotet wurde 2014 als „Banking-Trojaner“ entwickelt. Das Ziel war es, einen Computer zu infizieren und vertrauliche private Daten auszuspionieren. In späteren Versionen wurden weitere Funktionen ergänzt, wie etwa Spamming-Features und Verknüpfungen zu anderen (Banking-)Trojanern. 

Emotet verbreitet sich demnach als Spam-Mail – leider täuschend echt und somit für eine Vielzahl an Usern nicht als schadhafte Nachricht erkennbar. In dieser Mail wird der User immer zu einer Interaktion aufgefordert. Damit ist dieser unfreiwillig schon in die Falle getappt – oder geklickt. 

Emotet ist darüber hinaus eine sogenannte polymorphe Malware. Das bedeutet, dass sich der Code mit jedem Aufruf selbstständig leicht verändert, um die Erkennung durch einen Scanner zu erschweren. Auch erkennt Emotet selbst, wenn er sich in einer Sandbox befindet. In diesem Fall legt sich die Malware selbst „schlafen“ und bleibt untätig ... vorerst! 

Wie kann sich Emotet so schnell verbreiten?

Zum einen werden Kontaktdaten wie Adressbücher und E-Mails auf dem befallenen Rechner ausgelesen. Diese Kontakte erhalten ebenfalls eine Spam-Nachricht mit schadhaftem Inhalt, Link oder Dateianhängen (ausführbare .exe-Dateien, Word-Dokumente, .zip-Dateien, Bilder usw.). Wird ein neuer Rechner infiziert, wiederholt sich der Zyklus immer und immer wieder. So kann es sein, dass man selbst Opfer mehrerer Versionen ein und desselben Emotet wird. In der aktuellen Version des Trojaners wurde das Urfeature der Bankenspionage entfernt. Somit fokussiert sich Emotet rein auf das Auslesen der (Kontakt-)Daten und den Verteilungsmechanismus per Mail.

Das Perfide dabei: Emotet legt meist nicht direkt beim Infizieren los, seine kriminellen Funktionen zu starten. Lediglich die Sammlung der Kontaktdaten läuft permanent unbemerkt. Manchmal dauert es Wochen, sogar Monate, bis sich Emotet aktiviert. Gerade aber aufgrund der Sammlung „kennt“ Emotet die häufigsten E-Mail-Kontakte und fängt an, sich bei diesen Usern zuerst zu verbreiten.

Darüber hinaus bedient Emotet sich weiterer Malwares bzw. Trojaner. Eine leider aktuell nicht unübliche Kombination ist: Emotet + Trickbot + Ryuk. Warum ist dieses Trio aktuell so gefährlich für jede IT? 

Einfach dargestellt hat jede der drei Malwares einen Haupt-Task in der Kombination:

  • Emotet: Verteilen
  • Trickbot: Ausspähen
  • Ryuk: Verschlüsseln

Hat sich Emotet erst einmal verteilt, macht es sich die beiden anderen Malwares zunutze.
Trickbot hat sich zwischenzeitlich zur universellen Angriffs-Malware entwickelt, dient aber meist der Datenspionage – primär wie auch die Anfänge von Emotet von Bankdaten. Mittlerweile kann Trickbot jedoch auch sämtliche Zugangsdaten aus Webbrowsern, E-Mail-Programmen und weiteren Applikationen auslesen. Trickbot nutzt dabei Windows-Bordmittel, um unentdeckt zu bleiben. Es sichert sich Administratorrechte und kann dann sogar die Benutzerkennwörter mitlesen. Anhand dieser Informationssammlung kann ein Täter innerhalb einer Spearing-Attacke (also einer gezielten Attacke auf ein Unternehmen) auch eine Abwägung treffen, ob es sich überhaupt lohnt, das infizierte Ziel anzugreifen.

Ryuk ist ein „typischer“ Verschlüsselungs-Trojaner (Ransomware), wie etwa der bekannte „WannaCry“. Bei Ransomware werden beliebige Daten der Festplatte auf Computern und Servern wahllos verschlüsselt. Damit ist der Zugriff auf diese Daten ohne den entsprechenden Entschlüsselungskey nicht mehr möglich.
Helfen kann hier ein möglichst aktuelles Backup bzw. der Restore der verschlüsselten Daten. Ansonsten muss der Key vom Angreifer, meist mittels einer anonymen Kryptowährung (vgl. BitCoin), gekauft werden. Der Preis kann mehrere tausend Euros betragen, bis sogar zu mehrern Millionen Euro.

Da Trickbot jedoch schon alle Bankdaten gesammelt hat, ist die Bezahlung durch die Verschlüsselung von Ryuk noch dazu sehr einfach. 

Sie erkennen das Muster des hier dargestellten „Trio Infernale“?

Vorbeugende Maßnahmen

Mit ein paar einfachen Verhaltensregeln können Sie einem Angriff vorbeugen:

  • Sprechen Sie mit Ihrer IT Abteilung oder einem IT-Experten, wenn
    • Sie unsicher sind, ob die Mail evtl. gefährlich ist,
    • sich Ihr Computer anders verhält (meist deutlich langsamer als sonst),
    • Sie Mails von Ihnen unbekannten Absendern und Inhalt erhalten
  • Vertrauen Sie niemandem!
    So überspitzt muss man es vielleicht gar nicht sehen, aber prüfen Sie, ob die Mail-Adressen zu den Namen passen.
  • Prüfen Sie den Inhalt und die Absicht der Mail – warum sollten Sie eine Rechnung öffnen, wenn Sie generell keine Rechnungen online erhalten?
  • Geben Sie niemals Ihr Kennwort weiter, auch nicht an Kollegen zur Urlaubsvertretung.
  • Sperren Sie Ihren PC, bevor Sie diesen verlassen (auch nur bei kurzen Pausen!).

Was tun, wenn ich mich infiziert habe? 

Wie so oft: Ruhig bleiben. Melden Sie den Vorgang unverzüglich Ihrer IT-Abteilung oder Ihrem IT-Experten, um eine Ausbreitung (und damit Schlimmeres) zu verhindern.

Wenn Sie eine Zahlungsaufforderung erhalten, gilt eine auch längst bekannte Weisheit: Zahlen Sie nicht! 

Der Grad der Kompromittierung lässt sich meist nicht auf den ersten Blick erkennen. Evtl. sind bereits weitere Systeme infiziert und die zu leistenden Zahlungen steigen ins Unermessliche. Des Weiteren würden Sie Kriminelle bezahlen und damit deren Motivation nur steigern. 

Quellen- und Bildnachweise:
https://m.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html?seite=all
https://pixabay.com/de/
https://www.malwarebytes.com/business/

Stephan Simon
Business Development Manager

Unsere Blogs