Richtig fies: Emotet-Trojaner per E-Mail

cybersecurity glas bricht

Einmal nicht aufgepasst und schon ist es passiert: „Emotet“ ist nicht nur ein einziger Virus, so wurde gleich eine ganze Familie von Schadprogrammen genannt. Sie werden Empfängern über den Anhang einer sehr echt aussehenden E-Mail mit Trojanern übermittelt. 

Ein Klick – und Sie sind infiziert. Wenn Sie als Empfänger die Anlage bzw. den Anhang der E-Mail öffnen, werden sofort und unbemerkt Module mit Schadfunktionen nachgeladen und ausgeführt. Ziel dieser fiesen Angriffe ist es, die gesamte IT – also auch alle verbundenen Netzwerk-PCs und Server – des Opfers lahm zu legen. Oft wird dabei noch ein Lösegeld erpresst.

Sowohl die Landeskriminalämter als auch das BSI warnen offiziell vor dem gefährlichen Trojaner Emotet. Die Malware ist besonders tückisch. Sie kann sich ganz leicht per E-Mail immer weiter verbreiten, weil sie die Adressbücher und Nachrichten auf den Rechnern ihrer Opfer ausliest.  Die Empfänger ahnen nichts Böses, weil sie den Absender kennen oder sogar ihre eigenen, früheren Mailtexte erkennen. Neuerdings sind auch Word-Dokumente betroffen, die durch einen einfachen Satz in der Mail angekündigt werden. Sie unterlaufen auch die Mechanismen von SPAM-Filtern.

1. Zusammenfassung der wichtigsten Punkte:

  • Emotot-Trojaner sind besonders gefährliche Schadprogramme, weil sie sich wie ein Computerwurm auf das gesamte Netzwerk ausbreiten können
  • Ursprünglich wurde diese Schadsoftware für Banken entwickelt, mittlerweile sind aber auch Privatpersonen und Unternehmen jeder Größe davon betroffen
  • Einmal installiert, kann ein Emotet zahlreiche Schadprogramme nachladen
  • Emotet verursachen hohe Schäden durch Datendiebstahl und Erpressung
  • Treffen Sie schnellstmöglich geeignete Maßnahmen zum Schutz vor diesen Schadprogrammen
  • Holen Sie sich dabei die Unterstützung von erfahrenen IT-Spezialisten

2. Was ist Emotet-Trojaner und wie funktioniert er?

Der Emotet-Trojaner ist eine äußerst gefährliche und weit verbreitete Schadsoftware, die in fremde Computer eindringen und dort sensible Daten ausspähen kann. Die Geschichte dieser Schadprogramme reicht bis in das Jahr 2014 zurück. Emotet richtete in diesem Jahr als Banking-Trojaner zum ersten Mal Schaden an. Deutsche und österreichische Kunden waren von dem Phishing-Angriff betroffen. Die Malware verschaffte sich Zugang zu den Login-Daten und konnte durch das Ausspähen der Passwörter Zugriff auf die sensiblen Bankdaten auf den Computern der Kunden bekommen. Das Gefährliche an dem Schadprogramm: Ist ein PC einmal infiziert, dann breitet sich das Programm auf dem gesamten Betriebssystem aus und versucht sogar, das gesamte Netzwerk zu infizieren.

Die Verbreitung dieser Schadsoftware verfolgt mehrere Zwecke: 

  • Daten-Diebstahl: Emotet kann sensible Informationen wie Benutzernamen, Passwörter, Bankdaten und andere persönliche Informationen stehlen.
  • Botnet-Funktionen: Infizierte Geräte werden oft zu einem Teil eines Botnetzes, das von den Angreifern ferngesteuert werden kann. Diese Botnets können für verschiedene Zwecke verwendet werden, zum Beispiel für Distributed Denial of Service (DDoS)-Angriffe, Spam-Versand etc.
  • Verbreitung anderer Malware: Emotet dient oft als Eintrittspunkt für weitere Malware, die von den Angreifern installiert werden kann. Dies können Ransomware, Spyware oder andere Arten von schädlicher Software sein.
  • E-Mail-Spoofing und Phishing: Emotet kann sich in infizierten Systemen verbreiten, indem es sich als legitime E-Mail ausgibt und gefälschte E-Mails an Kontakte im E-Mail-Adressbuch sendet. Diese E-Mails enthalten bösartige Anhänge oder Links, die dann weitere Geräte infizieren.

Die Kriminellen, die Emotet Trojaner einsetzen, wollen die Betroffenen in der Regel um Geld erpressen. Nicht selten geht es dabei um Gelder in Millionenhöhe.

3. Wie funktioniert die Emotet-Software?

Hacker mit Kaputze

Emotet-Trojaner sind in der Lage, sich unsichtbar für Antivirus-Programme zu machen und können jede Firewall einfach umgehen. Dadurch sind die Türen für den Datenklau weit geöffnet. Verbreitet werden die Schadprogramme oftmals durch Spam-E-Mails, durch die Nutzung sogenannter Exploit-Kits, die eine Sicherheitslücke im System ausnutzen oder andere Phishing-Programme. Fast immer wird dabei unter Nachahmung bekannter Kontaktbeziehungen im Betreff aus einem Netzwerk ein Dokument verschickt, das geöffnet wird und damit die Installation der Schadsoftware auslöst.

Inzwischen hat sich Emotet von seinen Ursprüngen als Banking-Trojaner zu einem Dropper weiterentwickelt, der Schadprogramme nachlädt. Diese zusätzlichen Programme sind verantwortlich für die eigentlichen Schäden im System. Typischerweise gehören dazu

  • Trickbot: Ein Banking-Trojaner, der Zugangsdaten zu Bankkonten stehlen soll.
  • Ryuk: Eine Form von Verschlüsselungstrojaner, auch bekannt als Kryptotrojaner oder Ransomware, der Daten verschlüsselt und somit den Zugriff des Benutzers auf diese Daten verhindert oder sogar das gesamte System sperrt.

4. Wer ist von dieser Form der Cyberkriminalität betroffen?

Grundsätzlich kann eine Infektion mit dieser Form der Malware jeden betreffen. Emotet-Trojaner haben es auf Privatpersonen abgesehen, aber auch auf Behörden, auf Unternehmen oder Organisationen.

Fallbeispiel: Emotet-Trojaner bei Heise

Im Jahr 2019 war das große Medienunternehmen Heise von einem Emotet-Trojaner betroffen. Ein Mitarbeiter hatte eine infizierte E-Mail geöffnet, die offensichtlich von einem Geschäftspartner stammte und auch dessen Namen im Absender trug. Der vermeintlich Bekannte forderte den Heise-Mitarbeiter dazu auf, die Dateien im Anhang zu öffnen und die eigenen Firmendaten zu kontrollieren bzw. gegebenenfalls zu ergänzen. Nach dem Öffnen der Dateianhänge nahm das Schicksal seinen Lauf und der Trojaner konnte sich auf die Netzwerke des Unternehmens ausbreiten. Die Administratoren beschrieben den Versuch, die Ausbreitung der Emotet-Trojaner zu stoppen, als “Hase und Igel”-Rennen. Das Ergebnis war ein kompletter Lockdown, bei dem sämtliche Netzwerke gekappt werden mussten.

5. Wie groß ist die Gefahr wirklich, von einem Emotet-Trojaner betroffen zu sein?

Mann am Laptop

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt offiziell vor diesem Schadprogramm. In der Meldung dazu heißt es:

“In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen.” Daneben sind dem BSI weitere Fälle mit weniger schwerem Verlauf gemeldet worden, bei denen Malware-Analysten des BSI Emotet-Infektionen nachweisen konnten. […] Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken.” Dazu liest die Schadsoftware Kontaktbeziehungen und auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus

Da die Schadsoftware ständig modifiziert wird, sind gängige Virenprogramme auf dem Rechner kaum in der Lage, sie zu erkennen. Außerdem ändern die Angreifer ihre Methoden kontinuierlich, was Dlf-IT-Experte Peter Welchering in einem Interview mit dem Deutschlandfunk betont:

“Die [Kriminellen] haben ihr Angriff Arsenal erweitert und schicken neben Mails mit trojanisierten Anhängen auch Mails mit Links, auf die das Opfer klicken soll. Die Mails sind gut gemacht. Bei einer Mail etwa hatten die Opfer den Eindruck, sie hätten von ihrer IT-Abteilung eine Mail bekommen. Die informiert sie über eine gerade entdeckte Sicherheitslücke und sie werden aufgefordert, auf den Link unten zu klicken, damit die Schwachstelle geschlossen werden kann. Wer das dann macht, hat eine Lade-Software auf dem Rechner, die in schöner Regelmäßigkeit weitere Schadsoftware nachlädt.”

6. Welche Maßnahmen gibt es zum Schutz vor einem Emotet-Trojaner?

Auch wenn sich wohl niemand zu 100% vor dieser Bedrohung schützen kann, gibt es dennoch Vorsichtsmaßnahmen, die Sie treffen können. Dazu lohnt es sich, einen Blick auf die Empfehlungen des BSI zu werfen und sich für die Umsetzung einen erfahrenen IT-Partner an die Seite zu holen.

6.1 Handlungsempfehlungen zum Schutz vor einem Emotet-Virus

  • Sensibilisierung und Schulung der Mitarbeiter zur besseren Erkennung von Spam-Kampagnen
  • Installation guter Antiviren-Software und regelmäßige Sicherheitsupdates
  • Einsatz einer zentralen AV-Software
  • Regelmäßige Durchführung von Backups
  • Monitoring der Logdaten zur schnelleren Identifikation von Anomalien
  • Einschränkung der Nutzerkonten auf die nur zwingend nötigen Berechtigungen

6.2 So können Sie verseuchte E-Mails erkennen

Emotet-verseuchte Mails sind auf den ersten Blick kaum von echten Mails zu unterscheiden. Daher gilt es, beim Öffnen von Mails und insbesondere von Anhängen bzw. Links, besonders vorsichtig zu sein.

  • Kenne ich den Absender der E-Mail?
  • Ist die Absenderadresse komplett korrekt? Hat sie eine unbekannte Domain-Endung?
  • Erwarte ich überhaupt eine E-Mail von diesem Kontakt?
  • Habe ich evtl. zuvor eine echte Antwort der Person bekommen und nun eine (falsche) Nachricht mit einer völlig anderen Antwort erhalten?
  • Ist die zeitliche Einordnung korrekt? Ist die originale Nachricht schon älter? Entsprechen Inhalt, Wortwahl, Schreibweise etc. den früheren Mails des Absenders?
  • Wird der Mail-Anhang mit einem einfachen Satz (evtl. nur mit einem Wort) angekündigt?
  • Sobald Sie auch nur geringfügige Zweifel an der Authentizität der Mail haben, sollten Sie telefonisch mit dem angeblichen Absender in Kontakt treten.
  • E-Mail-Anhänge sollten NIE unüberlegt und ohne Prüfung geöffnet werden!

Wenn Ihnen das Öffnen eines Word-Dokumentes als sinnvoll erscheint, seien Sie trotzdem besonders wachsam. Alarmglocken sollten immer dann angehen, wenn Sie Makros akzeptieren müssen, um die angehängte Datei öffnen zu können. Falls Sie kein „Word-Super-User“ sind, also z.B. nur normale Briefe schreiben, brauchen Sie die Makro-Funktion im Normalfall gar nicht und sollten diese auch deaktiviert lassen. Hinterfragen Sie, ob in Ihrem Unternehmen überhaupt Makros verwendet werden. Installieren Sie stets die aktuellen Betriebssystem- und Office-Updates. Prüfen Sie eingehende Mails auf Viren, Trojaner und Co.

7. Diese Vorsichtsmaßnahmen sind Ihnen nicht genug und Sie brauchen Unterstützung?

Sicher ist sicher! Durch ausgefeilte Security-Lösungen werden mögliche Sicherheitsbedrohungen rechtzeitig erkannt und ihnen mit entsprechender Schärfe begegnet.

8. FAQ: Häufige Fragen & Antworten zu Emotet-Trojanern

Welche Schäden kann Emotet verursachen?

Emotet geht es meistens um Datendiebstahl und die Installation von weiterer Malware wie Trickbot oder Ryuk-Ransomware. Dadurch ist die Übernahme von Systemen für illegale Zwecke wie einen Spam-Versand oder Distributed Denial of Service (DDoS)-Angriffe möglich.

Was soll ich tun, wenn mein System von Emotet infiziert ist?

Wenn Sie vermuten, dass Ihr System von Emotet infiziert ist, trennen Sie es umgehend vom Netzwerk, um eine weitere Verbreitung zu verhindern. Führen Sie dann einen vollständigen Virenscan durch und entfernen Sie alle erkannten Malware-Dateien. Es wird empfohlen, sich an einen IT-Sicherheitsexperten zu wenden, um eine gründliche Bereinigung und Analyse des Systems durchzuführen.

Woran erkenne ich eine Emotet-Infektion?

Einige Anzeichen für eine Emotet-Infektion können unerklärliche Systemverlangsamungen, ungewöhnliche Netzwerkaktivitäten oder das Auftauchen von verdächtigen Dateien oder Prozessen sein. Darüber hinaus können Phishing-E-Mails, die scheinbar von vertrauenswürdigen Quellen stammen, auf eine potenzielle Emotet-Infektion hinweisen.

CONTECHNET Logo INDART Professional