Trojaner Emotet wieder aktiv
Nach mehrmonatigem Unterbruch beobachtetet MELANI erneut verschiedene Malspam-Wellen mit infiziertem Word-Dokumenten im Anhang. Dabei handelt es sich um einen bereits länger bekannten Trojaner namens Emotet (auch bekannt als Heodo). Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware (Malware) verwendet. Emotet versucht - mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - mittels Social-Engineering den Empfänger zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten.
Bereits im November 2018 warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html] vor Emotet, welcher unter anderem den eBanking Trojaner «TrickBot» nachlädt sowie sich über die bereits länger bekannte Schwachstelle im SMB Proktoll («EternalBlue») in Unternehmensnetzwerke ausnutzt (Wurm-Komponente).
Gemäss aktuellen Informationen, welche der Melde- und Analysestelle Informationssicherung MELANI vorliegen, wird Emotet momentan auch aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren. Dabei verschlüsselt «Ryuk» auf dem Computer oder Server abgelegte Dateien und fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld (CHF 200 000 und mehr). Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen. Durch die vorhandene Wurm-Komponente besteht bei einer erfolgreichen Infektion ein hohes Risiko, dass sich der Trojaner im Unternehmensnetzwerk weiterverbreitet und einen erheblichen Schaden anrichtet.
MELANI verweist deshalb erneut auf folgenden Empfehlungen hin:
- Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
- Sowohl Betriebssysteme als auch alle auf den Computern und Servern installierten Applikationen (z. B. Adobe Reader, Adobe Flash, Oracle Java etc.) müssen konsequent auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
- Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
- Einhalten des Prinzips der minimalen Rechtevergabe besonders auch bei Netzwerklaufwerken (es sollte kein Benutzer Zugang zu allen Daten haben, wenn er diesen Zugang gar nicht benötigt).
- Verwenden von dedizierten Geräten mit keinen oder nur eingeschränktem Internet-Zugang für das Management der Systeme sowie für das Durchführen von Zahlungen
Aufgrund der aktuellen Gefährdung durch Office-Makros empfiehlt MELANI Unternehmen und Betreibern kritischer Infrastrukturen zudem:
- Das Ausführen von unsignierten Office-Makros technisch zu unterbinden.
- Den Empfang von Office Dokumenten, welche Makros enthalten, auf dem E-Mail Gateway bzw. Spam-Filter technisch zu unterbinden
Um eine Infektion durch Emotet zu verhindern sowie das Nachladen von weiterer Schadsoftware (Malware) zu unterbinden empfiehlt MELANI jene Webseiten, welche aktiv für die Verbreitung von Emotet verwendet werden, am Netzwerkperimeter wie beispielsweise Web-Proxy oder DNS zu sperren. Eine Liste von solchen Webseiten wird beispielsweise von abuse.ch zur Verfügung gestellt:
https://urlhaus.abuse.ch/api/
Zudem rät MELANI, die Netzwerk-Kommunikation mit Servern, die zur Steuerung von mit Emotet infizierten Geräten verwendet werden, zu blockieren (Emotet Botnet Command&Control Server – C&C). Eine Liste von IP Adressen, welche Emotet zugeordnet werden können, werden unter anderem von Feodo Tracker publiziert:
https://feodotracker.abuse.ch/blocklist/
Weitere Massnahmen und detaillierte Informationen finden Sie in unseren Merkblättern:
Merkblatt Informationssicherheit für KMUs:
https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html
Merkblatt Verschlüsselungstrojaner:
https://www.melani.admin.ch/melani/de/home/themen/Ransomware.html