In IT-Sicherheitskreisen ist Emotet eines der berüchtigtsten und prominentesten Beispiele für Malware der letzten Jahre. Wenn Sie nicht über Emotet Bescheid wissen, dann ist umso wichtiger, dass Sie lernen, was Emotet ist und wie Sie sich dagegen schützen können — denn das könnte eines der besten Dinge sein, die Sie jemals tun werden.

Was ist Emotet?

Emotet ist eine spezielle Art von Malware, die von Cyberkriminellen erstellt wurde. Die erste Entdeckung dieser Malware erfolgte im Jahr 2014 bei einem Cyberangriff auf Banken in Deutschland und Österreich. Emotet erlangte gegen Ende der 2010er Jahre dank mehrerer erfolgreicher, hochkarätiger Angriffe weltweite Aufmerksamkeit.

Emotet ist eine ungewöhnliche Art von Malware, da sie sich ständig weiterentwickelt und aktiv bleibt. Normalerweise, wenn eine Malware identifiziert wird und Technologien entwickelt werden, um sie zu blockieren, kreieren Cyberkriminelle eine neue Art von Malware, die dann einen anderen Namen erhält.

Cyberkriminelle verbreiten die Emotet-Malware in der Regel über Spam-E-Mails. Eine typische Methode, um Benutzer anzusprechen, ist das Versenden eines Dokuments mit einem Standardtitel, wie z. B. „Rechnung.doc“, sodass der Anhang von vielen Anwendern als legitim angesehen wird, wenn sie ihn erhalten. Sobald der Empfänger den Anhang öffnet, lädt sich Emotet über Makros innerhalb des Dokuments auf sein System herunter und macht sich an die Arbeit.

Viele Emotet-E-Mails enthalten auch bösartige Links mit häufig angeklickten Begriffen wie “ Zahlungsdetails“ im Inhalt.

Viele Emotet-Angriffe lassen es so aussehen, als ob die E-Mail, die Sie erhalten, von einer bekannten Marke stammt. Das hat dazu beigetragen, dass die Zahl der erfolgreichen Angriffe im Laufe der Jahre gestiegen ist.

Weitere Faktoren, die diese Art von Malware so gefährlich machen, sind, dass sie sich auf Systemen einnistet und unerkannt arbeiten kann und dabei verschiedene Malware-Typen auf Ihr System bringt. Wenn Sie Emotet identifizieren und von Ihrem System entfernen, müssen Sie möglicherweise noch weitere Arbeiten durchführen, um zusätzliche Malware zu entfernen.

Wie hat sich Emotet in den letzten Jahren entwickelt?

Bis zum heutigen Tag entwickelt sich die Emotet-Malware weiter und verfügt über weitaus mehr Fähigkeiten als noch im Jahr 2014.

  • Die erste Version von Emotet wurde erstellt, um den Internetverkehr abzufangen, mit dem Ziel, Bankdaten zu stehlen.
  • Die zweite Version im Jahr 2014 enthielt Module, die automatisch auf deutsche und österreichische Banken abzielten. Sie enthielt auch ein Überweisungssystem, so dass der Betrug schnell durchgeführt werden konnte, bevor die Sicherheitssysteme Alarm schlugen.
  • Ein Update aus dem Jahr 2015 enthielt zusätzliche Tarnfähigkeiten, die Emotet vor den meisten Antivirenprogrammen verbargen. Es begann auch, Banken in der Schweiz ins Visier zu nehmen…

Bei diesen frühen Versionen von Emotet handelte es sich um Trojanische Pferde, die in erster Linie darauf abzielen, Bankdaten zu stehlen und illegale Geldüberweisungen durchzuführen.

2018 und weiter

In 2018 entwickelte sich Emotet von einer traditionellen Trojaner-Malware zu einem so genannten „Dropper“. Das bedeutet, dass Emotet nicht nur Systeme infizieren kann, sondern auch andere Trojanische Pferde und Ransomware auf Computersysteme überträgt und herunterlädt. Daher kann ein Emotet-Angriff dazu führen, dass sowohl Daten ohne Wissen gestohlen werden als auch eine Einzelperson, ein Unternehmen oder eine andere Organisation Opfer einer Ransomware wird. Es wird vermutet, dass dies über die Schöpfer von Emotet geschieht, die ihre Software an andere Kriminelle „vermieten“. Die Kriminellen zahlen für die Malware, damit sie Zugriff auf Daten erhalten und 100 % der Gewinne aus ihrer Ransomware oder anderen Malware behalten.

In 2019 wurde Emotet als Botnets eingesetzt, um eine größere Anzahl von Personen und Organisationen, insbesondere Banken aus Europa und den USA, anzugreifen.

Auch 2020 ist Emotet noch aktiv, wobei das ganze Jahr über Kampagnen entdeckt werden. Ende 2020 wurde festgestellt, dass die Malware von etwa 50.000 geparkten Domains aus verbreitet wird. Bei diesen geparkten Domains handelt es sich um neu registrierte und sofort geparkte Domains oder bestehende Good Standing Domains, die der vorherige Besitzer nicht verlängert hat.

Fünf berühmte Malware-Angriffe mit Emotet

Emotet war in den letzten Jahren die Ursache für mehrere hochkarätige Cyberangriffe. Fünf der bedeutendsten sind:

  1. Ein Angriff wurde im Februar 2018 auf die Kommunalverwaltung in Allentown, Pennsylvania, verübt, bei dem die Computersysteme der Kommunalverwaltung infiltriert wurden. Obwohl nichts für Ransomware-Auszahlungen ausgegeben wurde, beliefen sich die Gesamtkosten für die Behebung und Minderung des durch den Angriff verursachten Schadens auf mehr als 1 Million US-Dollar.
  2. Ein Angriff auf die Stadt Lake City, Florida, im Juli 2019 verursachte aufgrund von Ransomware-Auszahlungen einen Schaden von 460.000 US-Dollar.
  3. Im Mai 2019 gab es einen Angriff auf die Heise-Gruppe, ein in Deutschland ansässiges Verlagshaus. Dieser Angriff wurde durch einen Mitarbeiter verursacht, der einen scheinbar legitimen E-Mail-Anhang öffnete. Es ist jedoch nicht bekannt, welche finanziellen Schäden, wenn überhaupt, entstanden sind.
  4. Im August 2020 gab es einen Angriff auf das Justizministerium von Quebec in Kanada. Obwohl das Justizministerium angab, dass keine Daten gestohlen wurden oder kein finanzieller Schaden entstanden ist, wurde das Ministerium wegen seiner langsamen Reaktion auf das Problem heftig kritisiert. Im Dezember 2020 wird dem Ministerium nach wie vor vorgeworfen, die Schwere des Angriffs nicht richtig eingeschätzt zu haben.
  5. Während des gesamten Septembers 2020 meldeten Regierungsbehörden in ganz Europa verstärkte Emotet-Aktivitäten und Betrugsversuche. Es ist jedoch nicht bekannt, in welchem Umfang diese erfolgreich waren.

Wie verbreitet sich die Emotet-Malware, und warum ist sie so schwer zu erkennen?

Emotet verbreitet sich in der Regel über E-Mail-Systeme, indem er Konten kapert und bösartige E-Mails verschickt.

Sobald die Malware in Ihrem System ist, durchsucht sie Ihren Posteingang und Ihre E-Mail-Kontaktliste. Sie kann dann auf echte E-Mail-Nachrichten mit bösartigen Anhängen oder Links antworten. Dies ist ein weiterer Faktor, der Emotet gefährlicher macht als herkömmliche Phishing-Betrugs-E-Mails, die oft leicht zu erkennen sind, da sie zufällig von einer unbekannten Quelle gesendet werden.

Da die Personen in Ihrer Kontaktliste eine E-Mail erhalten, die wie eine echte Antwort aussieht – auf eine E-Mail, die sie wirklich gesendet haben -, ist es wahrscheinlicher, dass sie diese öffnen und auf den Anhang oder Link klicken. Wenn sie dies tun, kann die Malware ihr System infizieren, Daten stehlen, andere Malware installieren und den Vorgang mit dem E-Mail-Konto dieser Person wiederholen.

Die Erkennung von Emotet ist schwierig, weil er so programmiert ist, dass er die meisten Antiviren-Produkte umgehen kann. Ein herkömmlicher Virus verwendet jedes Mal dieselbe Code-„Signatur“, wenn er versucht, sich auf Ihrem System einzunisten. Solange Ihre Antiviren-Software also weiß, nach welcher Signatur sie suchen muss, kann sie diese Viren blockieren.

Im Gegensatz dazu handelt es sich bei Emotet um einen sogenannten polymorphen Virus. Das bedeutet, dass sich die „Signatur“ der Malware auf jedem Rechner ändert, auf dem sie sich installiert, und dass die Antiviren-Software sie nicht erkennen kann. Emotet erkennt auch, wenn er in einer virtuellen Maschine ausgeführt wird, und kann sich selbst automatisieren, um so lange zu ruhen, bis es effektiv agieren kann.

Wie können Sie sich vor Emotet schützen?

The most effective means of protection against this malware is finding a SIEM solution that can help identify and help quarantine Emotet emails and those containing associated malware such as Ryuk ransomware. A SIEM solution such as LogPoint, can help detect Emotet and bring an added layer of security to your business emails.

Der effektivste Schutz gegen diese Malware ist eine SIEM-Lösung, die dabei helfen kann, Emotet-E-Mails und solche, die damit verbundene Malware wie Ryuk Ransomware enthalten, zu identifizieren und unter Quarantäne zu stellen. Eine SIEM-Lösung wie LogPoint kann bei der Erkennung von Emotet helfen und eine zusätzliche Sicherheitsebene für Ihre Geschäfts-E-Mails schaffen.

Zusätzlich zur Auswahl von Software, die Ihnen hilft, Emotet-Angriffe zu blockieren und Ihre internen Netzwerke kontinuierlich zu überwachen, sollten Sie auch folgendes tun:

  • Deaktivieren Sie die Verwendung von Makros in Microsoft Office-Dateien.
  • Installieren Sie alle Sicherheitsupdates sofort, wenn sie für die von Ihnen verwendete Software verfügbar sind.
  • Erstellen Sie regelmäßig Sicherungskopien aller Daten und bewahren Sie diese sicher an einem anderen Ort als die Masterdateien auf.
  • Schaffen Sie eine Kultur der Sorgfalt in Ihrem Unternehmen. Wenn die Mitarbeiter vorsichtig sind, welche Anhänge sie öffnen – oder Sie verwenden Cloud-Software, um Anhänge bedeutungslos zu machen – minimieren Sie Ihr Risiko, Opfer von Emotet zu werden, fast auf Null. Stellen Sie sicher, dass Ihr Team die Verwendung von Sicherheitssoftware nicht als ein falsches Gefühl der Sicherheit auffasst!

Welche Maßnahmen können Sie ergreifen, wenn Ihre Systeme von Emotet betroffen sind?

Wenn Sie glauben, dass Sie von einer Emotet-Infektion betroffen sind, gehen Sie wie folgt vor:

  1. Entfernen Sie potenziell infizierte Systeme aus Ihrem Netzwerk.
  2. Überprüfen Sie das System und entfernen Sie die Malware, wenn Sie bestätigen können, dass sie vorhanden ist. Möglicherweise ist es erforderlich, das System zu löschen und neu zu installieren.
  3. Suchen Sie nach anderer Ransomware und anderer Malware, die von Emotet abgelegt worden sein könnte. Wenn diese vorhanden sind, sollten Sie diese ebenfalls entfernen.
  4. Überprüfen und bereinigen Sie jedes andere System in Ihrem Netzwerk, eines nach dem anderen. Denken Sie daran, dass Emotet auf Ihren Systemen ruhen kann. Sie müssen die Zeit investieren, um sicherzustellen, dass Sie nicht sofort wieder ein Probleme geraten, obwohl Sie das Gefühl haben, dass Sie es beseitigt haben.
  5. Sobald Sie bestätigt haben, dass die Malware nicht in Ihrem Netzwerk vorhanden ist, integrieren Sie das System, auf dem Sie die ursprüngliche Infektion identifiziert haben, erneut.

Erfahren Sie mehr darüber, wie LogPoint fortschrittlichen Bedrohungsschutz gegen verschiedene Formen von Malware für Ihr Unternehmen bietet.

Contact LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch