Emotet

Emotet ist eine Art Malware, die ursprünglich als Banking-Trojaner entwickelt wurde, um Finanzdaten zu stehlen. Sie hat sich jedoch zu einer ernsthaften Bedrohung für Nutzer weltweit entwickelt.

.st0{fill:#0D3ECC;} MALWAREBYTES KOSTENLOS HERUNTERLADEN

Auch für Windows, iOS, Android, Chromebook und Unternehmen

Sprechen wir über Emotet-Malware

Vielleicht haben Sie in den Nachrichten von Emotet gehört. Was ist es: ein altägyptischer König oder die Lieblings-Emo-Band Ihrer Teenie-Schwester? Leider nicht.

Der Banking-Trojaner Emotet wurde erstmals 2014 von Sicherheitsforschern entdeckt. Emotet war ursprünglich als Banking-Malware konzipiert, die versuchte, sich auf Ihren Computer zu schleichen und sensible und private Daten zu stehlen. In späteren Versionen der Software wurden Spamming- und Malware-Lieferdienste hinzugefügt, darunter auch andere Banking-Trojaner.

Emotet nutzt Funktionen, die der Software helfen, von einigen Anti-Malware-Produkten unentdeckt zu bleiben. Emotet verwendet wurmartige Fähigkeiten, um sich auf andere verbundene Computer auszubreiten, was die Verteilung der Malware erleichtert. Diese Funktionalität hat das Department of Homeland Security dazu veranlasst, zu schlussfolgern, dass Emotet eine der kostspieligsten und destruktivsten Malware ist, die sowohl den öffentlichen als auch den privaten Sektor, Einzelpersonen und Organisationen betrifft und die über 1 Million Dollar pro Vorfall für die Bereinigung kostet.

Symbol Schild

Emotet Cybersicherheitsprodukte

Für Unternehmen

Malwarebytes Endpunkt-Erkennung und -Reaktion
 Malwarebytes Endpunkt-Schutz

Was ist Emotet?

Emotet ist ein Trojaner, der hauptsächlich durch Spam-E-Mails(Malspam) verbreitet wird. Die Infektion kann entweder über ein bösartiges Skript, makroaktivierte Dokumentdateien oder einen bösartigen Link erfolgen. Emotet-E-Mails können ein vertrautes Branding enthalten, das wie eine seriöse E-Mail aussehen soll. Emotet kann versuchen, Benutzer zum Anklicken der schädlichen Dateien zu verleiten, indem er verlockende Formulierungen über "Ihre Rechnung", "Zahlungsdetails" oder möglicherweise eine bevorstehende Sendung von bekannten Paketdiensten verwendet.

Emotet hat mehrere Iterationen durchlaufen. Frühe Versionen erschienen als bösartige JavaScript-Datei. Spätere Versionen nutzten makroaktivierte Dokumente, um die Nutzlast des Virus von Command-and-Control-Servern (C&C) der Angreifer abzurufen. 

Emotet verwendet eine Reihe von Tricks, um Entdeckung und Analyse zu verhindern. So erkennt Emotet beispielsweise, ob es in einer virtuellen Maschine (VM) läuft und bleibt inaktiv, wenn es eine Sandbox-Umgebung erkennt. Diese wird von Cybersicherheitsexperten genutzt, um Malware in einem sicheren und kontrollierten Raum zu beobachten.

Emotet verwendet auch Kommando- und Kontrollserver, um Updates zu erhalten. Dies funktioniert ähnlich wie Betriebssystem-Updates auf Ihrem PC und kann nahtlos und ohne äußere Anzeichen erfolgen. Dies erlaubt Angreifern, aktualisierte Versionen der Software zu installieren, zusätzliche Malware wie andere Banking-Trojaner zu installieren oder als Ablage für gestohlene Informationen wie Bankdaten, Benutzernamen, Passwörter und E-Mail-Adressen zu dienen.

Emotet Nachrichten

Wie verbreitet sich Emotet?

Die Hauptverteilungsmethode für Emotet ist Malspam. Emotet plündert Ihr Kontaktverzeichnis und sendet sich an Ihre Freunde, Familie, Kollegen und Kunden. Da diese E-Mails von Ihrem gehackten E-Mail-Konto stammen, wirken sie weniger wie Spam und die Empfänger fühlen sich sicherer, sodass sie eher versucht sind, auf schlechte URLs zu klicken oder infizierte Dateien herunterzuladen.

Wenn ein verbundenes Netzwerk vorhanden ist, verbreitet sich Emotet mit Hilfe einer Liste häufig verwendeter Passwörter und versucht, sich in andere verbundene Systeme einzuarbeiten, indem es mittels Brute-Force-Angriff das Passwort errät. Wenn das Passwort für den wichtigen Server der Personalabteilung schlicht "passwort" lautet, ist die Wahrscheinlichkeit hoch, dass Emotet dorthin gelangt.

Forscher dachten zunächst, Emotet verbreite sich auch über die Schwachstellen EternalBlue/DoublePulsar, die für die Angriffe WannaCry und NotPetya verantwortlich waren. Wir wissen jetzt, dass dies nicht der Fall ist. Was die Forscher zu dieser Schlussfolgerung führte, war die Tatsache, dass TrickBot, ein Trojaner, der häufig von Emotet verbreitet wird, die EternalBlue-Schwachstelle nutzt, um sich in einem bestimmten Netzwerk zu verbreiten. Es war TrickBot, nicht Emotet, der die EternalBlue/DoublePulsar-Schwachstellen ausnutzte.

Was ist die Geschichte von Emotet?

Erstmals 2014 identifiziert, infiziert Emotet bis heute Systeme und schadet Nutzern, weshalb wir immer noch darüber sprechen, im Gegensatz zu anderen Trends von 2014 (Ice Bucket Challenge, jemand?).

Version eins von Emotet wurde entwickelt, um Bankkontodaten durch das Abfangen von Internetverkehr zu stehlen. Kurz darauf wurde eine neue Version der Software entdeckt. Diese Version, Emotet Version zwei genannt, kam mit mehreren Modulen, darunter ein Geldtransfersystem, ein Malspam-Modul und ein Bankenmodul, das auf Banken in Deutschland und Österreich abzielte.

„Aktuelle Versionen des Emotet-Trojaners beinhalten die Fähigkeit, weitere Malware auf infizierte Maschinen zu installieren. Diese Malware kann andere Banking-Trojaner oder Malspam-Dienste umfassen.“

Bis Januar 2015 erschien eine neue Version von Emotet. Version drei enthielt Tarnmodifikationen, die dazu beitragen sollten, dass die Malware unter dem Radar bleibt, und neue Ziele in der Schweizer Bankenwelt hinzufügte.

Spulen wir ins Jahr 2018 vor - neue Versionen des Emotet-Trojaners bieten die Möglichkeit, andere Malware auf infizierten Computern zu installieren. Zu dieser Malware können auch andere Trojaner und Ransomware gehören. Ein Beispiel: Ein Emotet-Angriff auf Lake City, Florida, im Juli 2019 kostete die Stadt 460.000 US-Dollar an Ransomware-Zahlungen, wie Gizmodo berichtet. Eine Analyse des Angriffs ergab, dass Emotet nur als anfänglicher Infektionsvektor diente. Nach der Infektion lud Emotet einen anderen Banking-Trojaner namens TrickBot und die Ryuk-Ransomware herunter.

Nachdem Emotet für die meiste Zeit des Jahres 2019 relativ ruhig geblieben war, kam es stark zurück. Im September 2019 berichteten Malwarebytes Labs über eine Botnetz-angetriebene Spam-Kampagne, die deutsche, polnische, italienische und englische Opfer mit geschickt formulierten Betreffzeilen wie „Zahlungsgutschrift“ und „Überfällige Rechnung“ angriff. Das Öffnen des infizierten Microsoft-Word-Dokuments aktiviert ein Makro, das wiederum Emotet von kompromittierten WordPress-Seiten. herunterlädt.

Wen zielt Emotet ab?

Jeder ist ein Ziel für Emotet. Bislang hat Emotet Einzelpersonen, Unternehmen und Regierungsstellen in den USA und Europa angegriffen und Bankanmeldungen, Finanzdaten und sogar Bitcoin-Wallets gestohlen.

Ein bemerkenswerter Emotet-Angriff auf die Stadt Allentown, PA, erforderte direkte Hilfe vom Incident-Response-Team von Microsoft zur Bereinigung und soll die Stadt Berichten zufolge über 1 Million Dollar an Kosten verursacht haben.

Nun, da Emotet verwendet wird, um andere Banking-Trojaner herunterzuladen und zu liefern, ist die Liste der potenziellen Ziele noch breiter. Frühe Versionen von Emotet wurden verwendet, um Bankkunden in Deutschland anzugreifen. Spätere Versionen von Emotet zielten auf Organisationen in Kanada, dem Vereinigten Königreich und den Vereinigten Staaten ab.

„Ein bemerkenswerter Emotet-Angriff auf die Stadt Allentown, PA, erforderte direkte Hilfe vom Incident-Response-Team von Microsoft, um aufzuräumen, und soll die Stadt Berichten zufolge über 1 Million Dollar an Kosten verursacht haben.“

Wie kann ich mich vor Emotet schützen?

Sie machen bereits den ersten Schritt, um sich und Ihre Nutzer vor Emotet zu schützen, indem Sie lernen, wie Emotet funktioniert. Hier sind ein paar zusätzliche Schritte, die Sie unternehmen können:

  1. Halten Sie Ihren Computer/Endpunkte mit den neuesten Patches für Microsoft Windows auf dem neuesten Stand. TrickBot wird häufig als sekundäre Emotet-Nutzlast geliefert, und wir wissen, dass TrickBot auf die Windows-EternalBlue-Schwachstelle angewiesen ist, also beheben Sie diese Schwachstelle, bevor Cyberkriminelle sie ausnutzen können.
  2. Laden Sie keine verdächtigen Anhänge herunter oder klicken Sie auf dubiose Links. Emotet kann nicht diesen initialen Zugriff auf Ihr System oder Netzwerk erlangen, wenn Sie diese verdächtigen E-Mails meiden. Nehmen Sie sich die Zeit, Ihre Nutzer zu schulen, wie sie Malspam erkennen.
  3. Schulen Sie sich und Ihre Benutzer in Erstellung eines starken Passworts. Und fangen Sie an, Zwei-Faktor-Authentifizierung zu nutzen.
  4. Sie können sich und Ihre Nutzer vor Emotet mit einem robusten Cybersicherheitsprogramm schützen, das einen mehrschichtigen Schutz bietet. Malwarebytes Geschäfts- und Premium-Konsumentenprodukte erkennen und blockieren Emotet in Echtzeit.  

Wie kann ich Emotet entfernen?

Wenn Sie vermuten, dass Sie bereits von Emotet infiziert wurden, bleiben Sie ruhig. Wenn Ihr Computer mit einem Netzwerk verbunden ist – isolieren Sie ihn sofort. Nach der Isolierung patchen und bereinigen Sie das infizierte System. Doch es ist noch nicht vorbei. Aufgrund der Verbreitung von Emotet in Ihrem Netzwerk kann ein gesäuberter Computer erneut infiziert werden, wenn er wieder an ein infiziertes Netzwerk angeschlossen wird. Reinigen Sie jeden Computer in Ihrem Netzwerk einzeln. Es ist ein mühsamer Prozess, aber Malwarebytes Business-Lösungen können es einfacher machen, indem sie infizierte Endpunkte isolieren und reparieren sowie proaktiven Schutz gegen zukünftige Emotet-Infektionen bieten.

Wenn Wissen die halbe Miete ist, besuchen Sie die Malwarebytes Labs und lernen Sie mehr darüber, wie Emotet der Erkennung entgeht und wie Emotets Code funktioniert.