Emotet-Takedown zeigt Wirkung aber:Unternehmen sollten sich bei Emotet nicht ausruhen
12. Februar 2021
Der international konzertierte Takedown des Emotet-Botnetzes zeigt Wirkung: Im Emotet-Tracking von G DATA CyberDefense ist es aktuell sehr ruhig. Allerdings gilt die Empfehlung: Unternehmen sollten die Verschnaufpause effizient nutzen.
Emotet ist seit dem international koordinierten Takedown der Command- und Control-Server der Allzweckwaffe des Cybercrime vorläufig lahmgelegt – das zeigt eine aktuelle Auswertung von G DATA CyberDefense. Die Aktion der Strafverfolgungsbehörden hatte weltweit für Aufsehen gesorgt.
Emotet gehörte zu den aktivsten Schadsoftware-Familien – im vergangenen Jahr hatte G DATA über 800.000 Versionen der Malware identifiziert. Seit dem 27. Januar 2021 ist die Aktivität jedoch fast auf null zurückgegangen. Verbleibende identifizierte Samples stammen aus dem in der Branche etablierten Sampletausch. Neuinfektionen mit Emotet sind daher derzeit eher unwahrscheinlich.
Unternehmen sollten Emotet immer noch jagen
In vielen Unternehmen dürfte es aktuell jedoch noch stille, bislang unentdeckte Emotet-Infektionen geben. Diese sind weiterhin gefährlich, weil Cyber-Kriminelle darüber andere Schadsoftware wie Trickbot oder Qbot nachinstallieren können. Diese Malware wird in der Regel dazu genutzt, alle Daten im Unternehmensnetzwerk zu verschlüsseln und nur gegen Zahlung einer Erpressersumme wieder freizugeben.
Insbesondere Unternehmen, die in den vergangenen Wochen eine Warnung vom BSI erhalten haben, sollten diese unbedingt ernst nehmen und ihr Netzwerk genau prüfen. Ein guter Ansatzpunkt ist die Auswertung der Firewall-Logs – bei Bedarf mit externer Unterstützung. Zur Untersuchung der Clients selbst sollte eine Endpoint-Protection mit In-Memory-Scanner eingesetzt werden. Diese bietet die beste Chance, bestehende Infektionen zu erkennen.
Emotet war besonders deshalb sehr gefährlich, weil die Malware sich über täuschend echte Phishing-Mails verbreitete. Dabei nutzte sie das Mailpostfach bereits infizierter Opfer, um auf bestehende Konversationen zu antworten. Zudem ist die Schadsoftware technisch in der Lage, im Browser gespeicherte Passwörter auszulesen und diese Informationen für weitere Angriffe zu benutzen.
Die Denkweise „hinter“ Emotet
Die immer höheren Erfordernisse an Netzwerksicherheit infolge von IT-Bedrohungen drängen Unternehmen dazu, angemessene Abwehrstrategien zu implementieren. Doch mit Emotet hat eine Schadsoftware den Ring betreten, die das leichteste aller potenziellen Angriffsziele ins Visier nimmt: den Menschen. Als kommerzielle Malware zielt Emotet auf menschliches Vertrauen ab, nistet sich auf deren Computern ein und nutzt sie als Einfallstor für andere Malware, während es sich immer weiter auf andere Systeme ausdehnt.
Nach Erkenntnissen des BlackBerry Research and Intelligence Teams bezieht Emotet seine Schlagkraft aus zwei Faktoren: seiner modularen Eigenschaft, die eine Vielfalt von Angriffsvarianten ermöglicht, und der kontinuierlichen Aktualisierung durch seine Entwickler, die für enorme Stabilität sorgt.
Das Angriffsprinzip des Malware-Delivery-Systems funktionierte wie ein Botnet, das Angriffe gegen eine große Anzahl von E-Mail-Adressen ausführt. Der SPAM-Spreader erstellte gezielt E-Mails, die Menschen dazu verleiten, ihren Computer zu infizieren. Einmal ins System gelangt ist die Malware in der Lage, eine ganze Palette von Angriffen zu starten – von Verbreitung im Netzwerk über WiFi-Verbreitung bis hin zu Diebstahl von E-Mail-Kontaktdaten sowie von Inhalten und nicht zuletzt von Passwörtern.
Ein Geschäftsmodell, das die Basis von Kommunikation kompromittiert
Den Beginn eines jeden Angriffs bildete eine Serien-E-Mail mit einer Social-Engineering-Nachricht als Inhalt – in der Regel eine klassische Anrede wie „Sehr geehrter [Name]“ und ein Anhang oder Link zu einer Datei, die in der die Malware versteckt wurde. Hochgeladen wurde die Vorlage mit den Anmeldedaten des Absenders aus einer Liste von kompromittierten E-Mail-Konten.
Darin enthalten waren Benutzernamen und Kennwörter für Mail-Clients, mit deren Hilfe eine Authentifizierung auf dem Mail-Server angestrebt wurde. Ziel war es, den SPAM so zu versenden, als stamme er von den Personen in der Liste. Hinzu kam eine Zielliste für E-Mails mit Vor- und Nachnamen sowie den E-Mail-Adressen der Empfänger. Nach dem Versand an jede verfügbare Adresse meldete Emotet ähnlich wie bei kommerziellen Massenmails an den Server zurück, wo ein Ziel erreicht wurde.
Im System angekommen nutzte die Schadsoftware jede Chance, Bankdaten, E-Mail-Kontoinformationen, E-Mail-Adressbücher und vieles mehr zu sammeln und an Server zu senden. Bei den eingesetzten Malware-Anhängen kann es sich um Office-Dokumente handeln, in denen Makros versteckt sind, die ihrerseits Powershell-Befehle starten, oder getarnte ausführbare Dateien.
Als Einladung zu einem Meeting getarnte Links dienten mitunter der Installation von Malware. Weitere Angriffsoptionen waren das Sammeln von Wireless-Passwörtern, das Sammeln von Netzwerk-Anmeldeinformationen und Stealth-Fähigkeiten wie das Setzen eines speicherresidenten Timers, Sandbox-Awareness und Anti-Analyse-Funktionen. Darüber lies sich die Malware ohne zusätzliche Social-Engineering-Opfer noch weiterverbreiten.
Strategie gegen übermächtigen Gegner
Naives Online-Verhalten bildet generell die Basis für ein kriminelles Geschäft, dessen Volumen analog zur Zahl der Internetbenutzer kontinuierlich wächst. Ein Grund dafür: Für die Urheber von Emotet waren alle E-Mail-Adressen potenzielle Ziele – private, geschäftliche und behördliche. Derweil haben die meisten Blacklist-basierten Antiviren- und Netzwerkverteidigungs-Tools Probleme, den Schädling aufzuhalten, der sich an verschiedenen Orten replizieren und eine Domain nach der anderen kompromittieren kann.
Hinzu kommt, dass die Angreifer aktuelle Ereignisse und Aufhänger von allgemeinem Interesse als Vorlagen verwendeten, um selbst die skeptischsten E-Mail-Empfänger zu überlisten. Die Wahrscheinlichkeit dafür nimmt zu, sofern das Thema, der Absender und der Anhang konsistent aufeinander abgestimmt sind und bestehende Kontaktlisten kompromittiert werden. Vertrauen ist die Grundlage jeder Kommunikation – und weil Emotet dieses Vertrauen gezielt missbraucht hat, war jeder E-Mail-Nutzer potenziell gefährdet.
Vor diesem Hintergrund kann nur eine umfassende Abwehrstrategie die Verteidigung gegen Emotet und künftige Abkömmlinge ermöglichen. Am Anfang vieler solcher Ansätze steht die Schulung von Mitarbeitern, doch ist diese angesichts des überaus plausiblen Social-Engineering-Strickmusters als alleinige Schutzmaßnahme kaum effektiv genug.
Die einzigen wirksamen operativen Mittel zum Schutz vor dieser Art von Angriffen sind laut OSSTMM-Analyse die Nichtverwendung von Standard-Installationskonfigurationen für alles, einschließlich Windows-Standardverzeichnissen, Whitelisting von Datenverkehr, physische Netzwerksegmentierung, benutzerdefinierte Ports für Dienste, wo dies möglich ist, und Multi-Faktor- oder verifizierte identitätsbasierte Authentifizierung.
Wer planvoll agiert, ist im Vorteil
Für eine dringend benötigte zusätzliche Schutzebene kann eine KI-basierte Sicherheitssoftware sorgen – mit der Gewissheit im Hinterkopf, dass alle Assets auf System- und Netzwerkebene kompromittiert werden können und Änderungen auf physischer und Root-Ebene am besten umzusetzen sind. Absolut unerlässlich ist zudem ein Notfallplan, der sich im Ernstfall unverzüglich aktivieren lässt. Um zu gewährleisten, dass der Sicherheitsplan auch funktioniert, empfehlen sich kontinuierliche Wirksamkeitstests der Systeme sowie der Netzwerksicherheitsverteidigung.
Zur Verteidigung gegen einen Gegner, der vermeintlich immer in der besseren Position ist, sind Vorbereitung, akribische Aufmerksamkeit für Details und Geschicklichkeit unverzichtbare Faktoren. Zwar kann auch eine Prise Glück nicht schaden, doch reicht das allein bei Weitem nicht aus, um Emotet und seinem Gefährdungspotenzial auf Dauer wirksam die Stirn zu bieten.
Tim Berghoff ist Security Evangelist bei G DATA CyberDefense, und Tom Bonner, Distinguished Threat Researcher bei BlackBerry.
