IT-Sicherheit: Schadsoftware Emotet

Emotet – wie gefährlich ist die Malware?

16. Oktober 2020, aktualisiert im November 2021 und Mai 2023
Verfasst von Julia Schreiber

Emotet: Der Malware-König ist wieder aktiv

Bild: © James Thew - Adobe Stock

Emotet gilt als die gefährlichste Malware. „Malware-König“ nannte das Magazin heise im Frühjahr Emotet. Der BR betitelt es in einem Kommentar als „das übelste Stück Ungeziefer, das jemals im Cyberspace“ unterwegs war. Dann im Januar 2021 der Coup: Einer internationalen Ermittlergruppe unter Beteiligung des deutschen Bundeskriminalamts gelang es, die Infrastruktur hinter Emotet zu zerschlagen und die Schadsoftware auf vielen betroffenen Rechnern für die Täter unbrauchbar zu machen. 
Nun ist die Schadsoftware zurück: 2023 kommt sie getarnt als OneNote-Notizbuch in E-Mails zurück. 2021 nutzten die Cyberkriminellen hinter Emotet noch die Infrastruktur der Trickbot-Malware, das eigene Botnetz schien nachhaltig zerstört. Was ist aktuell über Emotet bekannt? Wie können sich Unternehmen davor schützen?

Emotet: Anfänge als Banking-Trojaner

Als Emotet 2014 – damals unter dem Namen „Dridex“ – erstmalig auf sich aufmerksam machte, handelte es sich um einen klassischen Banking-Trojaner. Dieser versendete in Deutschland sowie in Österreich gefälschte Rechnungen und angebliche Kundenschreiben von Banken. Wer auf den Mail-Anhang oder einen im Text enthaltenen Link klickte, installierte eine Spähdatei, die Bankdaten des Nutzers kopierte.

In den Folgejahren entwickelte sich die Schadsoftware kontinuierlich weiter, der Aufbau wurde modularer, sie unterdrückte Sicherheitswarnungen der Banken und erweiterte ihre Aktivität auf die Schweiz – blieb aber im Kern ein relativ simpler Trojaner mit ausführbarer .exe-Datei.

Weiterentwicklung zur trickreichen Allround-Malware

Größere Änderungen kamen 2017: Seit der vierten Generation ist Emotet weltweit aktiv und nutzt Microsoft-Office-Dokumente mit Makros (oder Links zu einem solchen Dokument), die Schadprogramme aus dem Internet nachladen und ausführen.

Mit dem ursprünglichen Banking-Trojaner hat dies wenig gemein: Emotet setzt auf eine Vielzahl verschiedener Schadprogramme. Ist ein Rechner infiziert, arbeiten sich die verschiedenen Schadprogramme durch das Netzwerk und infiltrieren weitere Systeme. Um die Erfolgsaussichten zu erhöhen, nutzt Emotet das „Outlook Harvesting“: Hierbei wird das Adressbuch des potenziellen Opfers ausgespäht und die gewonnenen Erkenntnisse eingesetzt, um in der späteren Kommunikation Echtheit zu suggerieren.

Die ab 2020 aktive Emotet-Variante geht einen Schritt weiter: Wie das Magazin Golem berichtet, klinkt sich die Malware nicht nur in frühere E-Mail-Konversationen ihrer Opfer ein, sie verwendet auch deren (gutartige) Anhänge, um möglichst authentische Mails zu generieren. Die Schadsoftware lädt sich nach, sobald das Opfer auf den Link in der Mail klickt. Dann werden Bankdaten abgegriffen und mit etwas Verzögerung der gesamte Rechner verschlüsselt sowie Lösegeld erpresst. Ein „Malware-König“, dessen Spitznamen nicht von ungefähr kommt.

2023 setzt Emotet auf bösartige OneNote-Dateianhänge. Wer diesen öffnen möchte, erhält den Hinweis, dass die Datei geschützt sei. Beim Klicken auf "View" öffnet sich allerdings keine Datei, vielmehr wird im Hintergrund ein Skript gestartet, das Emotet anschließend herunterlädt. Als Reaktion darauf hat Microsoft bereits zusätzliche Schutzmaßnahmen vor Phishing in OneNote-Dateianhängen angekündigt.

Tipps zum Schutz vor Malware

Weit über 30.000 Varianten gab es alleine bis zur vorübergehenden Zerschlagung von Emotet. Auch wenn die Malware heute weniger aktiv ist als 2020, wird sie von Cyberkriminellen regelmäßig weiterentwickelt. Zu Emotet-"Glanzzeiten" beobachteten Sicherheitsforscher stündlich kleinere Anpassungen.

Deshalb sollten einige grundlegende Maßnahmen umgesetzt werden (InterConnect unterstützt Sie gerne bei der Umsetzung), um das Risiko einer Emotet-Infektion zu minimieren:

  1. Sensibilisierung von Mitarbeitern für die Gefahren durch E-Mail-Anhänge oder Links – selbst bei vermeintlich bekannten Absendern. Auch sollten Berechtigungen für Nutzerkonten auf notwendige Rechte beschränkt und (sofern möglich) Makros über Gruppenrichtlinien deaktiviert werden. Die Einschränkung unsignierter Makros gilt als eine der wirksamsten Schutzmaßnahmen gegen einige Emotet-Varianten.
  2. Patch Management: Zeitnahe Installation von Sicherheitsupdates für Betriebssysteme und Anwendungen. Besonders wichtig sind in diesem Zusammenhang Browser, E-Mail-Client und Office-Anwendungen.
  3. Aktuelle und zentral administrierte Antivirus-Lösung.
  4. Regelmäßige, mehrstufige Backups der Unternehmensdaten.
  5. Regelmäßiges Monitoring von Logdaten, sowohl manuell als auch automatisiert (mit Alarmierung bei schwerwiegenden Anomalien).
  6. Netzwerk-Segmentierung mit jeweils isolierter Administration.
  7. Klare Prozesse: Mit wem müssen Mitarbeiter bei Auffälligkeiten Rücksprache halten? Welche Maßnahmen werden ergriffen?

 

 

Sie benötigen ein (neues) IT-Sicherheitskonzept? Haben Beratungsbedarf zu geeigneter Hard- und Software? Oder möchten Sie technologiegestützt Ihre Mitarbeiter für IT-Security sensibiliseren?
Kommen Sie auf uns zu - wir beraten Sie gerne.

 


Alle Artikel
 

Kontakt aufnehmen