Sprechen wir über Emotet-Malware
Vielleicht haben Sie in den Nachrichten von Emotet gehört. Was ist es: ein altägyptischer König oder die Lieblings-Emo-Band Ihrer Teenie-Schwester? Leider nicht.
Der Emotet-Banking-Trojaner wurde erstmals 2014 von Sicherheitsexperten identifiziert. Emotet war ursprünglich als Banking-Malware vorgesehen, die versucht, auf Ihren Computer zu schleichen und sensible sowie private Informationen zu stehlen. Spätere Versionen der Software erweiterten die Funktionen um Spamming und Malware-Delivery-Dienste — einschließlich weiterer Banking-Trojaner.
Emotet nutzt Funktionen, die der Software helfen, von einigen Anti-Malware-Produkten unentdeckt zu bleiben. Emotet verwendet wurmartige Fähigkeiten, um sich auf andere verbundene Computer auszubreiten, was die Verteilung der Malware erleichtert. Diese Funktionalität hat das Department of Homeland Security dazu veranlasst, zu schlussfolgern, dass Emotet eine der kostspieligsten und destruktivsten Malware ist, die sowohl den öffentlichen als auch den privaten Sektor, Einzelpersonen und Organisationen betrifft und die über 1 Million Dollar pro Vorfall für die Bereinigung kostet.
Emotet Cybersicherheitsprodukte
Für Unternehmen
Malwarebytes Endpoint Detection and Response
Malwarebytes Endpoint Protection
Malwarebytes Incident Response
Was ist Emotet?
Emotet ist ein Trojaner, der hauptsächlich durch Spam-E-Mails (Malspam) verbreitet wird. Die Infektion kann über bösartigen Skriptcode, Makrofähige Dokumente oder schadhafte Links auf Ihr System gelangen. Emotet-E-Mails können bekannte Markenlogos enthalten, die wie legitime E-Mails aussehen. Emotet verwendet verlockende Formulierungen zu Themen wie „Rechnung“, „Zahlungsdetails“ oder einer anstehenden Lieferung durch bekannte Paketdienste, um Nutzer dazu zu bringen, auf die schädlichen Dateien zu klicken.
Emotet hat einige Veränderungen durchlaufen. Frühe Versionen erschienen als bösartige JavaScript-Dateien. Spätere Versionen nutzten Makro-fähige Dokumente, um die Virusnutzlast von Kommando- und Kontrollservern der Angreifer zu beziehen.
Emotet verwendet eine Reihe von Tricks, um Entdeckung und Analyse zu verhindern. So erkennt Emotet beispielsweise, ob es in einer virtuellen Maschine (VM) läuft und bleibt inaktiv, wenn es eine Sandbox-Umgebung erkennt. Diese wird von Cybersicherheitsexperten genutzt, um Malware in einem sicheren und kontrollierten Raum zu beobachten.
Emotet verwendet auch Kommando- und Kontrollserver, um Updates zu erhalten. Dies funktioniert ähnlich wie Betriebssystem-Updates auf Ihrem PC und kann nahtlos und ohne äußere Anzeichen erfolgen. Dies erlaubt Angreifern, aktualisierte Versionen der Software zu installieren, zusätzliche Malware wie andere Banking-Trojaner zu installieren oder als Ablage für gestohlene Informationen wie Bankdaten, Benutzernamen, Passwörter und E-Mail-Adressen zu dienen.
Emotet Nachrichten
- Emotet ist zurück und verschwendet keine Zeit
- Emotet verbreitet sich über schädliche Windows App Installer-Pakete
- TrickBot hilft Emotet, wieder aufzuerstehen
- Aufräumen nach Emotet: die Akte der Strafverfolgung
- Malware-Analyse: Emotet entschlüsseln, Teil 2
- Malware-Analyse: Emotet entschlüsseln, Teil 1
Wie verbreitet sich Emotet?
Die Hauptverteilungsmethode für Emotet ist Malspam. Emotet plündert Ihr Kontaktverzeichnis und sendet sich an Ihre Freunde, Familie, Kollegen und Kunden. Da diese E-Mails von Ihrem gehackten E-Mail-Konto stammen, wirken sie weniger wie Spam und die Empfänger fühlen sich sicherer, sodass sie eher versucht sind, auf schlechte URLs zu klicken oder infizierte Dateien herunterzuladen.
Wenn ein verbundenes Netzwerk vorhanden ist, verbreitet sich Emotet mit Hilfe einer Liste häufig verwendeter Passwörter und versucht, sich in andere verbundene Systeme einzuarbeiten, indem es mittels Brute-Force-Angriff das Passwort errät. Wenn das Passwort für den wichtigen Server der Personalabteilung schlicht "passwort" lautet, ist die Wahrscheinlichkeit hoch, dass Emotet dorthin gelangt.
Forscher dachten zunächst, dass sich Emotet auch über die EternalBlue/DoublePulsar Schwachstellen verbreitet, die für die Angriffe von WannaCry und NotPetya verantwortlich waren. Heute wissen wir, dass dem nicht so ist. Was die Forscher zu dieser Annahme führte, war die Tatsache, dass TrickBot, ein Trojaner, der oft von Emotet verbreitet wird, die EternalBlue-Schwachstelle nutzt, um sich in einem Netzwerk zu verteilen. Es war TrickBot, nicht Emotet, der die EternalBlue/DoublePulsar Schwachstellen ausnutzte.
Was ist die Geschichte von Emotet?
Erstmals 2014 identifiziert, infiziert Emotet bis heute Systeme und schadet Nutzern, weshalb wir immer noch darüber sprechen, im Gegensatz zu anderen Trends von 2014 (Ice Bucket Challenge, jemand?).
Version eins von Emotet wurde entwickelt, um Bankkontodaten durch das Abfangen von Internetverkehr zu stehlen. Kurz darauf wurde eine neue Version der Software entdeckt. Diese Version, Emotet Version zwei genannt, kam mit mehreren Modulen, darunter ein Geldtransfersystem, ein Malspam-Modul und ein Bankenmodul, das auf Banken in Deutschland und Österreich abzielte.
Bis Januar 2015 erschien eine neue Version von Emotet. Version drei enthielt Tarnmodifikationen, die dazu beitragen sollten, dass die Malware unter dem Radar bleibt, und neue Ziele in der Schweizer Bankenwelt hinzufügte.
Schnell vorwärts ins Jahr 2018 – neue Versionen des Emotet-Trojaners beinhalten die Fähigkeit, andere Malware auf infizierte Maschinen zu installieren. Diese Malware kann andere Trojaner und Ransomware enthalten. Ein Beispiel: Ein Emotet-Angriff im Juli 2019 auf Lake City, Florida, kostete die Stadt 460.000 Dollar an Lösegeldzahlungen, so Gizmodo. Eine Analyse des Angriffs ergab, dass Emotet lediglich als vektorielle Einstiegspunkt diente. Sobald infiziert, lud Emotet einen anderen Banking-Trojaner, bekannt als TrickBot, und die Ryuk-Ransomware herunter.
Nachdem Emotet für die meiste Zeit des Jahres 2019 relativ ruhig geblieben war, kam es stark zurück. Im September 2019 berichteten Malwarebytes Labs über eine Botnetz-angetriebene Spam-Kampagne, die deutsche, polnische, italienische und englische Opfer mit geschickt formulierten Betreffzeilen wie „Zahlungsgutschrift“ und „Überfällige Rechnung“ angriff. Das Öffnen des infizierten Microsoft-Word-Dokuments aktiviert ein Makro, das wiederum Emotet von kompromittierten WordPress-Seiten. herunterlädt.
Wen zielt Emotet ab?
Jeder ist ein Ziel für Emotet. Bisher hat Emotet Einzelpersonen, Unternehmen und Behörden in den USA und Europa getroffen und dabei Banking-Logins, Finanzdaten und sogar Bitcoin-Wallets gestohlen.
Ein bemerkenswerter Emotet-Angriff auf die Stadt Allentown, PA, erforderte direkte Hilfe vom Incident-Response-Team von Microsoft zur Bereinigung und soll die Stadt Berichten zufolge über 1 Million Dollar an Kosten verursacht haben.
Nun, da Emotet verwendet wird, um andere Banking-Trojaner herunterzuladen und zu liefern, ist die Liste der potenziellen Ziele noch breiter. Frühe Versionen von Emotet wurden verwendet, um Bankkunden in Deutschland anzugreifen. Spätere Versionen von Emotet zielten auf Organisationen in Kanada, dem Vereinigten Königreich und den Vereinigten Staaten ab.
Wie kann ich mich vor Emotet schützen?
Sie machen bereits den ersten Schritt, um sich und Ihre Nutzer vor Emotet zu schützen, indem Sie lernen, wie Emotet funktioniert. Hier sind ein paar zusätzliche Schritte, die Sie unternehmen können:
- Halten Sie Ihren Computer/Endpunkte mit den neuesten Patches für Microsoft Windows auf dem neuesten Stand. TrickBot wird häufig als sekundäre Emotet-Nutzlast geliefert, und wir wissen, dass TrickBot auf die Windows-EternalBlue-Schwachstelle angewiesen ist, also beheben Sie diese Schwachstelle, bevor Cyberkriminelle sie ausnutzen können.
- Laden Sie keine verdächtigen Anhänge herunter oder klicken Sie auf dubiose Links. Emotet kann nicht diesen initialen Zugriff auf Ihr System oder Netzwerk erlangen, wenn Sie diese verdächtigen E-Mails meiden. Nehmen Sie sich die Zeit, Ihre Nutzer zu schulen, wie sie Malspam erkennen.
- Schulen Sie sich und Ihre Benutzer in Erstellung eines starken Passworts. Und fangen Sie an, Zwei-Faktor-Authentifizierung zu nutzen.
- Sie können sich und Ihre Nutzer vor Emotet mit einem robusten Cybersicherheitsprogramm schützen, das einen mehrschichtigen Schutz bietet. Malwarebytes Geschäfts- und Premium-Konsumentenprodukte erkennen und blockieren Emotet in Echtzeit.
Wie kann ich Emotet entfernen?
Wenn Sie vermuten, dass Sie bereits von Emotet infiziert wurden, bleiben Sie ruhig. Wenn Ihr Computer mit einem Netzwerk verbunden ist – isolieren Sie ihn sofort. Nach der Isolierung patchen und bereinigen Sie das infizierte System. Doch es ist noch nicht vorbei. Aufgrund der Verbreitung von Emotet in Ihrem Netzwerk kann ein gesäuberter Computer erneut infiziert werden, wenn er wieder an ein infiziertes Netzwerk angeschlossen wird. Reinigen Sie jeden Computer in Ihrem Netzwerk einzeln. Es ist ein mühsamer Prozess, aber Malwarebytes Business-Lösungen können es einfacher machen, indem sie infizierte Endpunkte isolieren und reparieren sowie proaktiven Schutz gegen zukünftige Emotet-Infektionen bieten.
Wenn Wissen die halbe Miete ist, besuchen Sie die Malwarebytes Labs und lernen Sie mehr darüber, wie Emotet der Erkennung entgeht und wie Emotets Code funktioniert.