von Kaiser & Schmedding, 11. September 2019
Aktuelle Informationen zum zur Zeit gefährlichsten Virus für Unternehmen
Gefälschte E-Mails im Namen von Freunden, Nachbarn, Geschäftspartnern oder Kollegen gefährden im Moment ganze Netzwerke.
Emotet gilt als eine der größten Bedrohungen durch Schadsoftware weltweit und verursacht aktuell in Deutschland sehr hohe Schäden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen erhalten, die im Zusammenhang mit Emotet stehen.
So haben unter anderem Kriminelle das Netzwerk der Heise-Gruppe (u.a. Herausgeber der Computerzeitschrift c’t) angegriffen und mit diesem Schadprogramm enormen Schaden angerichtet.
So schreibt u.a. die Heise-Gruppe auf Ihrer Homepage:
„Am Montag, den 13. Mai, um kurz vor 15 Uhr öffnete ein Mitarbeiter eine Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und das Unheil nahm seinen Lauf.
Im Hintergrund infizierte Emotet bereits sein Windows-System und begann sofort, sein Unwesen im Heise-Netz zu treiben. Dies äußerte sich zunächst in einigen kleineren Infektionen, die auch Alarme der eingesetzten Antiviren-Software (Avira und Windows Defender) auslösten. Die hinzugezogenen Administratoren reinigten diese Systeme oberflächlich und waren zunächst der Überzeugung, das Problem damit im Griff zu haben.
Das änderte sich Mittwochnachmittag, als in den Firewall-Logs reihenweise Verbindungen zu bekannten Emotet-Servern auffielen. Ein schneller Check zeigte, dass bereits eine ganze Reihe von Rechnern über seltsame Verbindungen etwa auf TCP-Port 449 nach draußen kommunizierte. Das bedeutete: ROTER ALARM!
Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms.
In der Regel funktioniert dieses Programm so…
Ist der Computer erst infiziert, lädt Emotet weitere Schadensoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabflüssen oder ermöglichen den Tätern den Zugriff bzw. die Kontrolle zu ihrem System.
In mehreren Fällen, die u.a. dem BSI bekannt sind, führte dieser Virus zu großen Produktions- und Geschäftsausfällen da ganze Unternehmensnetzwerke neu aufgebaut werden mussten.
Wie Sie sich schützen können:
Was können Sie bei einem Befall tun:
Die K&S Cyberpolice bietet Versicherungsschutz und eine große Bandbreite von Dienstleistungen bei einem solchen Befall. Wir beraten Sie gerne für einen umfassenden Schutz Ihrer gesamten IT-Infrastruktur.
P.S.: Für alle die es interessiert, hier der Ausschnitt, was die Heise-Gruppe alles machen musste…
„Aufräumarbeiten Die infizierten Rechner wurden alle komplett außer Betrieb genommen. Auch die scheinbar sauberen Windows-10-Rechner kamen nicht mehr mit anderen Netzen oder gar dem Internet in Verbindung. Und das wird auch so bleiben. Weil es sich als aussichtslos erwiesen hat, alle Emotet-Aktivitäten lückenlos zu dokumentieren und man kein Risiko einer erneuten Infektion etwa durch eine übersehene Backdoor eingehen will, werden die betroffenen Komponenten alle stillgelegt beziehungsweise neu aufgesetzt.
Die Admins haben sich entschieden, ein komplett neues Netz mit neu aufgesetzten Rechnern und einem neuen Active Directory hochzuziehen. Dabei werden auch gleich neue, verschärfte Sicherheitsmaßnahmen umgesetzt, die eine vergleichbare Eskalation zukünftig unterbinden oder doch deutlich erschweren sollen. Existierende Daten, Werkzeuge und Ähnliches werden unter größter Vorsicht Schritt für Schritt in dieses neue Netz übertragen. Zwar ist mittlerweile die Arbeitsfähigkeit weitgehend wiederhergestellt, doch es wird sicher noch einige Wochen dauern, bis dieser Umzug vollständig abgeschlossen ist.
Welche Daten die Kriminellen bereits abziehen konnten, ist noch nicht ausreichend geklärt. Die Verantwortlichen haben den Vorfall jedenfalls bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet, wie es die DSGVO fordert. Darüber hinaus wurde der Vorfall bei der Polizei zur Anzeige gebracht. Auch Geschäftspartner wurden über das gesteigerte Risiko von Trojaner-Mails informiert.
Die Infrastruktur von Heise Medien und insbesondere der Redaktionen von c’t und heise online ist weitgehend unabhängig von der IT der Heise Gruppe. Es gibt dort keine Anzeichen für eine Kompromittierung durch Emotet. Insbesondere gibt es keinerlei Hinweise, dass Daten von Abonnenten und anderen Geschäftspartnern der Heise Medien in Gefahr waren.
Dieser Vorfall ist noch lange nicht abschließend geklärt. Doch wir werden ihn auch weiterhin so transparent wie möglich handhaben und sicher weitere Artikel dazu veröffentlichen. Ganz oben auf der Liste steht dabei „Wie schützt man sich besser vor Emotet“. Das Wichtigste dazu bereits kurz vorab: Gehen Sie davon aus, dass es auch Ihre Firma treffen wird. Bereiten Sie sich am besten jetzt darauf vor.“
Hier sehen Sie die neuesten Pressepräsenzen des DiM-Netzwerkes. Bleiben Sie hier immer auf dem neuesten Stand oder durchstöbern Sie das gesamte Pressearchiv über den Button unten. Wie Sie sich entscheiden: Wir wünschen Ihnen viel Spass.