Warnung vor altem Bekannten: Trojaner Emotet ist wieder auf dem Vormarsch

07 Dec 2018

Bereits im September 2017 berichteten wir an dieser Stelle über eine gefährliche Schadsoftware namens Emotet, die sich immer weiter in Deutschland...

Mehr >>

Bereits im September 2017 berichteten wir an dieser Stelle über eine gefährliche Schadsoftware namens Emotet, die sich immer weiter in Deutschland ausbreitete. Schon damals setzten die Hintermänner auf ausgefeilte Spam-E-Mails, um ihre Schadsoftware zu verbreiten. Derzeit ist eine neue Welle in vollem Gange, vor der nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt. Es sei bereits zu Fällen gekommen, bei denen komplette Unternehmensnetzwerke neu aufgesetzt werden mussten. Daraus resultierende Produktionsausfälle haben Schäden in Millionenhöhe nach sich gezogen. Die Bedrohungslage für Behörden und Unternehmen, aber auch für Privatanwender sei aktuell so akut, dass unbedingt Schutzmaßnahmen getroffen werden sollten. 

Doch was macht Emotet im Vergleich zu anderen Trojanern so gefährlich? Hier sind insbesondere zwei Faktoren zu nennen. Der erste ist die Verbreitung über immer neue Wellen an E-Mails, die kaum noch als Spam zu identifizieren sind. Dazu bedienen sich die Angreifer des Social Engineerings: Emotet greift auf das sogenannte Outlook Harvesting zurück, bei dem E-Mail-Konversationen und Kontakte von bereits infizierten Rechnern ausgelesen und ausgewertet werden. Die dadurch gewonnenen Informationen nutzen die Hintermänner dann, um neue Spam-Wellen mit möglichst glaubhaften Inhalten und Absendern zu versenden. So werden auch ganz gezielte Angriffe auf bestimmte Personen innerhalb von Unternehmen ermöglicht. 

Im Anhang der Mails, die bei der aktuellen Angriffswelle scheinbar von Kollegen oder Freunden stammen, befindet sich dann eine .doc-Datei, die beim Öffnen Makros ausführen möchte. Wer dem zustimmt, hat sich mit Emotet infiziert. Und damit wären wir bereits beim zweiten Faktor, der den Trojaner so gefährlich macht: Er verfügt über die Möglichkeit, Schadsoftware nachzuladen. Das BSI nennt hier als Beispiel den Banking-Trojaner Trickbot, der Zugangsdaten ausspäht. Aber auch Ransom- oder weitere Spyware könnte auf diesem Weg eigeschleust werden und es den Kriminellen ermöglichen, die komplette Kontrolle über einzelne Rechner und im schlimmsten Fall über das gesamte Netzwerk zu übernehmen. 

Doch wie kann man sich vor derart ausgefeilten Angriffen und Schadprogrammen schützen? Nun, zum einen sollte man, wie bereits im Sommer 2017 empfohlen, die Ausführung von Makros deaktivieren. Netzwerkadministratoren können dies auch für Unternehmen als Standard festlegen. So verhindert man eine Einnistung von Emotet in den eigenen Systemen. Außerdem sollte man seine Mitarbeiter darin schulen, Gefahren im und aus dem Netz zu erkennen. Awareness heißt hier das Zauberwort, auf das auch das BSI hinweist. 

Weniger >>

US-Stromnetze weiter im Fokus von Hackern

30 Nov 2018

In den letzten Jahren gab es weltweit immer wieder Cyberangriffe auf wichtige Infrastrukturen – besonders das Stromnetz scheint es vielen Hackern...

Mehr >>

In den letzten Jahren gab es weltweit immer wieder Cyberangriffe auf wichtige Infrastrukturen – besonders das Stromnetz scheint es vielen Hackern angetan zu haben. Denn das bietet immenses Schadenspotenzial und lässt sich sowohl wirtschaftlich als auch politisch als Druckmittel einsetzen. Nach den massiven Eingriffen durch mutmaßlich russische Hackergruppen in das ukrainische Stromnetz 2015 und 2016 stehen nun die USA im Fokus der Hackerangriffe. Doch im Gegensatz zu den großflächigen Blackouts in Osteuropa praktizieren die Angreifer dort eher eine Strategie der vielen Nadelstiche, wie die Sicherheitsexperten des amerikanischen Unternehmens FireEye berichten. Für die Stromversorger in den USA heißt das, dass sie sich in ständiger Alarmbereitschaft befinden müssen.

Wie die Sicherheitsforscher auf dem diese Woche stattfindenden CyberwarCon-Forum in Washington berichten, steckt hinter den kontinuierlichen Angriffen eine russische Gruppe namens TEMP.Isotope, die aber auch unter den Namen Dragonfly 2.0 und Energetic Bear bekannt ist. Die Hacker nutzen für ihre Strategie hauptsächlich herkömmliche Hackingtools, die sie wie einen Baukasten auf ihre Bedürfnisse anpassen. Das verringert zum einen den Aufwand für die Attacken und macht es zum anderen schwerer, die Hintermänner zu finden, da es kaum persönliche Signaturen im Code gibt. Bei ihren Aktionen geht die Gruppe äußerst geschickt vor, denn durch die vielen kleineren Attacken gewinnt sie Erkenntnisse über die Stärken und Schwächen der US-Stromversorgung, kreiert ein Bedrohungsszenario und frustriert damit die Opfer. Bei diesen wiederum handelt es sich um kleinere Sub-Unternehmen, die nicht im gleichen Maße abgesichert sind wie die großen amerikanischen Stromversorger. 

Dieses Vorgehen ist überaus geschickt, denn nach großflächigen und langanhaltenden Stromausfällen im Nordwesten der USA im Jahr 2003 haben die Stromversorger in den USA einen Katalog mit Sicherungsmaßnahmen sowohl gegen Naturkatastrophen als auch gegen feindliche Angriffe erarbeitet und umgesetzt. Dazu gehören auch Best-Practice-Beispiele für die Cybersicherheit, wie Zwei-Faktor-Authentifizierung, Netzwerksegmentierung, Schutzmaßnahmen für die Datenspeicherung sowie eine strenge Überwachung der Zugangsberechtigungen im Netzwerk. Unter dem etwas sperrigen Namen North American Electric Reliability Corporation Critical Infrastructure Protection, kurz NERC CIP, sorgt der Maßnahmenkatalog bei den großen Stromnetzbetreibern für ein sehr hohes Maß an Sicherheit. Allerdings werden längst nicht alle Bereiche der Stromversorgung so gut geschützt, beispielsweise, wenn mit kleinen, lokalen Subunternehmen zusammengearbeitet wird. Genau diese Schwachstellen des insgesamt recht stabilen Systems nehmen sich die TEMP.Isotope-Hacker vor und sorgen so zwar nicht für das ganz große Chaos, aber doch für schmerzhafte Stiche.

Und wie sieht es hierzulande aus? Der Stromausfall rund um Münster vor wenigen Jahren hat einen Ausblick auf die Zustände gegeben, die auch in Deutschland drohen, sollte es zu einem großen und längeren Blackout kommen. Gerade erst warnte das Bundesamt für Bevölkerungsschutz vor den Folgen eines solchen Ereignisses. Kein Wunder – immerhin sind wir in unserer modernen Welt vom Strom komplett abhängig. Kühlschrank, Licht, Herd, Boiler, Telekommunikation – all diese Errungenschaften funktionieren ohne Strom nicht mehr. Umso wichtiger ist es, sich gegen vermeidbare Risiken wie Angriffe von außen so wirksam wie möglich zu schützen, sowohl technisch als auch auf der menschlichen Seite.

Weniger >>

Weitere Beiträge anzeigen