Emotet ist derzeit die grösste Cyberbedrohung in der Schweiz. 22 Prozent der hiesigen Organisationen wurden durch den Verschlüsselungstrojaner bereits beeinträchtigt, wie aus dem „Threat Intelligence Report“ von Check Point hervorgeht. Die 22 Prozent in der Schweiz stehen einem globalen Durchschnitt von 13 Prozent gegenüber. Die Schweiz ist diesem Ergebnis zufolge überdurchschnittlich stark von Emotet betroffen.

Wer steht hinter Emotet?
Vermutlich eine kriminnelle Gruppe aus Russland. Im Programmcode der Malware fanden Sicherheitsexperten jedenfalls entsprechende Hinweise.
Ihre Kernbotschaft: Emotet sei «eine der zerstörerischsten Gefahren für Unternehmens-IT». Mit der Kombination aus Dynamit-Phishing und Ransomware könne sie für viele Firmen und Organisationen existenzbedrohend sein.

Was ist an Emotet besonders gefährlich?
Wenn Emotet erst einmal einen PC befallen hat, liest er Inhalte aus Outlook-Postfächern des befallenen Systems aus – das wird als «Outlook-Harvesting» bezeichnet. Die gesammelten Informationen nutzen die Täter zur weiteren Verbreitung von Malware. Sie senden Opfern täuschend echt wirkende E-Mails eines bekannten Kontakts, was dazu führt, dass ein Dokument mit grosser Wahrscheinlichkeit geöffnet wird.

Wie läuft ein Emotet Befall ab?
Der Angriff erfolgte mit grösster Sicherheit via E-Mail. Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware verwendet. Emotet versucht – mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten – mittels Social-Engineering den Empfänger zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten. Wenn ein Mailempfänger dieses ‹Tor öffnet›, wird aktiv nichts vom Benutzer bemerkt, sondern der Angriff läuft ruhig und unkontrolliert im Hintergrund. Normale Virenscanner können den sich selber verändernden Code in E-Mail-Anhängen grösstenteils nicht erkennen.
Eigentlich sind Makros in Microsoft Office standardmässig deaktiviert; sie lassen sich jedoch mit einem Mausklick einfach aktivieren und leider erstellen Anwender oder Softwarehersteller vermehrt kleine Makro-Programme und schalten daher Makros ein. Entgegen der Empfehlung der IT. Die Malware-Hersteller verleiten auch die Benutzer makros zu aktivieren um die rechnung oder mahnung zu öffnen.
Emotet versucht in mehreren Phasen vorzugehen und im ersten Schritt unter anderem Passwörter, E-Mail-Adressbücher, E-Mail-Inhalte zu erhalten und weitere Schadsoftware nachzuladen. In einer weiteren Phase verbreitet sich der Angreifer auf allen erreichbaren Systemen, vor allem auch auf die Backup-Umgebungen. In einer letzten Phase beginnt die Verschlüsselung, zuerst die Backups, dann die Online-Systeme.

Neu: Emotet kann sich seit neustem auch über WLAN verbreiten
Emotet nutzt mehrere Methoden, sich nach einer Infektion weiter zu verbreiten. Neu ist, dass der Schädling offenbar gezielt WLANs attackiert, um Zugriff auf weitere potentielle Opfer zu erhalten. Binary Search entdeckte jedoch bei einer Emotet-Analyse ein sich selbst auspackendes RAR-Archiv, dessen Programme worm.exe und service.exe bislang unbekannte Aktivitäten entfalten. Auf Rechnern mit WLAN erstellen sie eine Liste aller sichtbaren Funknetze. Anschließend versucht der Schädling, sich dort anzumelden und probiert dazu systematisch Passwörter aus einer Liste durch.

Wen kann es treffen?
Jeden. Egal wie gross oder klein das Unternehmen ist.

Das bekannteste Opfer war das Spital Wetzikon, letzten Herbst.
Das neuste Opfer ist das Kammergericht Berlin im Januar dieses Jahres.

Das sagt MELANI (Melde- und Analysestelle Informationssicherung des Bundes) zu Emotet:
„Aktuell beobachtetet MELANI verschiedene Malspam-Wellen mit infiziertem Word-Dokumenten im Anhang. Dabei handelt es sich um einen bereits länger bekannten Trojaner namens Emotet (auch bekannt als Heodo). Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware (Malware) verwendet. Emotet versucht – mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten – mittels Social-Engineering den Empfänger zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten.
Gemäss aktuellen Informationen, welche der Melde- und Analysestelle Informationssicherung MELANI vorliegen, wird Emotet momentan auch aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren. Dabei verschlüsselt «Ryuk» auf dem Computer oder Server abgelegte Dateien und fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld (CHF 200 000 und mehr).“

Allianz-Studie: Cybercrime ist der Angstfaktor Nummer 1 bei den Unternehmen
Cyberkriminalität ist laut einer neuen Studie der Allianz für Unternehmen weltweit zur größten Bedrohung geworden. Im neuen „Risikobarometer“ des Versicherers liegen Cyberattacken auf Platz eins der möglichen Bedrohungen, gefolgt von Betriebsunterbrechungen und „rechtlichen Veränderungen“ – damit gemeint sind Handelskonflikte, Zölle, Sanktionen, Brexit und andere politische Risiken. Der Klimawandel rangiert auf Platz sieben der Geschäftsrisiken, in der häufig von Naturkatastrophen heimgesuchten Region Asien/Pazifik auf Platz drei.

Was kann der normale Benutzer zu Schutz beitragen?
Vorsichtiger Umgang mit elektronischer Post. Grundsätzlich gilt: Traue niemandem! Absender können gefälscht sein. Inhalte auch.
Öffne KEINE Anhänge die merkwürdig erscheinen. Im Zweifelfall löschen.

Gerne beraten wir Sie, wie Sie sich schützen können. Nehmen Sie mit uns Kontakt auf.

Quelle: Diverse Online IT-Portale.