Erstmals gesichtet wurde er am 13.07.2020 in einer Spam-Kampagne. Am 17.07.2020 begann dann das reaktivierte Emotet-Botnet damit, Mailspam aktiv zu verbreiten, wobei dieselben Techniken wie zuvor, aber auch neue Vorgehensweisen angewendet werden. Ziel der Cyberkriminellen ist es, die Opfer dazu zu bringen, eine verseuchte Word- oder Excel-Datei zu öffnen. Dabei geht es letztendlich darum, Makros zu ermöglichen. Hierbei handelt es sich um Abfolgen von Befehlen, mit denen in Office-Dokumenten Vorgänge automatisiert werden. Weil das gefährlich ist, sind Makros gewöhnlich deaktiviert und Nutzer müssen die Ausführung erst akzeptieren, bevor die Schadprogramme starten können.
Vorsicht bei Anhängen und Links!
Seinen Dornröschenschlaf hat Emotet dafür genutzt, seine perfide Angriffsstrategie zu perfektionieren: Spam-Mails werden mit „frischen“ URLs verschickt, die in der Regel zu gehackten WordPress-Seiten führen. Eine Vielzahl verschiedener Anhänge soll die Empfänger dazu verleiten, Makros zu aktivieren, über die sich die Schadsoftware im System einnistet. Eine bekannte Technik besteht darin, dass das Dokument als Antwort in vorhandenen E-Mail-Threads gesendet wird.
Die angehängten Word-Dokumente verwenden eine neue Vorlage, die dem Benutzer mitteilt, dass sie nicht ordnungsgemäß geöffnet werden kann, da sie unter iOS erstellt wurde. Es liegt dann ein Fehler in der Vorlage vor, in dem „Edition aktivieren“ und nicht „Bearbeitung aktivieren“ angegeben ist.
Sobald die Malware ausgeführt wird, werden weitere schädliche Module bereitgestellt, die die E-Mails eines Opfers stehlen, auf andere Computer übertragen oder den infizierten Computer zum Senden von Spam verwenden.
Es ist bekannt, dass Emotet im Laufe der Zeit den TrickBot- sowie QakBot-Trojaner installiert, mit denen Passwörter, Cookies und SSH-Schlüssel gestohlen und über ein Netzwerk verteilt werden und letztendlich auf Ransomware-Betreiber zugegriffen wird.
Schützen Sie Ihre Unternehmens-IT
Es ist wichtig zu betonen, dass diese neue Kampagne nicht auf eine bestimmte Region beschränkt ist und sich an Benutzer weltweit richtet.
Um sich vor Emotet-Angriffen zu schützen, rät das BSI unter anderem, auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) zu öffnen. Misstrauen ist auch gegenüber Links angebracht, die in Nachrichten enthalten sind. Man sollte sie genau prüfen, bevor man darauf klickt. Beispielsweise gilt es darauf zu achten, ob die Adresse an sich plausibel ist. Bei einer verdächtigen E-Mail sollte man im Zweifelsfall den Absender anrufen und sich nach der Glaubhaftigkeit des Inhaltes erkundigen.
Was tun, wenn der Worst Case eintritt?
Wenn Sie festgestellt haben, dass Sie mit Emotet infiziert sind, wird dringend empfohlen, eine Überprüfung Ihres Netzwerks und Ihrer E-Mail-Konten durchzuführen, um sicherzustellen, dass andere Geräte in Ihrem Unternehmen nicht gefährdet sind.
Sollten Sie hierbei Unterstützung benötigen, erreichen Sie die Security-Experten der LEITWERK AG telefonisch unter +49 (7805) 918-1100 oder per E-Mail an support@leitwerk.de.