Schrift:
Ansicht Home:
Netzwelt

Schäden in Millionenhöhe

BSI warnt vor neuem Angriff eines alten Trojaners

Über Phishing-Mails verbreitet sich erneut die seit Jahren bekannte Schadsoftware Emotet. Obwohl man sich gegen sie schützen kann, richtet sie in deutschen Unternehmen schwere Schäden an.

B. TONGO/EPA/REX/Shutterstock

Quellcode auf einem Computerbildschirm

Donnerstag, 06.12.2018   11:02 Uhr

Ein rund vier Jahre alter Trojaner geht wieder um: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor Emotet, einer Schadsoftware, die über Phishing-Mails verbreitet wird und ganze Unternehmen lahmlegen kann. Sie verursache "auch in Deutschland aktuell hohe Schäden", zum Teil "in Millionenhöhe".

Damit Emotet seine schädliche Wirkung entfalten kann, muss einiges zusammenkommen: Ein Empfänger muss in einer Phishing-Mail den Anhang öffnen, der nach einem Word-Dokument aussieht. Wenn Microsofts Software dann startet, erscheint die Aufforderung, Makros zu aktivieren. Erst wenn der Anwender das getan hat, kann der Computer infiziert und weitere Malware aus dem Internet nachgeladen werden. Die kann den Tätern die volle Kontrolle über das System verschaffen.

"In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werden mussten", schreibt die Behörde.

Emotet und die nachgeladenen Programme versuchen zunächst, sich im Netzwerk weiter auszubreiten. Zum einen durch das Auslesen von Kontaktdaten und E-Mail-Inhalten, die automatisiert für weitere Phishing-Mails verwendet werden. Zum anderen mithilfe eines Exploits namens EternalBlue, der eine selbsttätige Verbreitung der Schadsoftware ermöglicht.

EternalBlue ist ein einst der NSA abhandengekommenes Angriffswerkzeug, das in der Folge auch Teil der globalen Zerstörungswelle von NotPetya wurde. Microsoft hat schon vor eineinhalb Jahren Patches zur Verfügung gestellt, die EternalBlue stoppen.

Um sich vor Emotet zu schützen, sollten Anwender erstens keine unverlangt zugesandten Anhänge öffnen oder in Mails auf unbekannte Links klicken und dort Dateien herunterladen, selbst wenn der Absender bekannt ist oder scheint. Administratoren sollten zweitens die Ausführung von Makros in Word verbieten. Drittens sollten sie Sicherheitsupdates und Patches für das Windows-Betriebssystem auf dem neuesten Stand halten. Wer statt Microsoft Word beispielsweise die Open-Source-Alternative LibreOffice nutzt, ist nicht gefährdet.

Anwender, deren System von Emotet befallen worden ist, sollten dem BSI zufolge sofort ihr Umfeld über die Infektion informieren, denn E-Mail-Kontakte und speziell die letzten Konversationspartner sind besonders gefährdet. An sie gehen nämlich die nächsten Phishing-Versuche.

Zudem sollte man auf befallenen Rechnern - etwa in Browsern - gespeicherte Zugangsdaten ändern. Schlussendlich empfiehlt das BSI, Rechner mit Emotet-Infektion lieber komplett neu aufzusetzen, weil der Trojaner und nachgeladene Schadsoftware "meist nicht von Virenschutzprogrammen erkannt" werden und teils tiefgreifende und sicherheitsrelevante Änderungen am System vornehmen, die oberflächliche Bereinigungsversuche überstehen.

pbe

insgesamt 5 Beiträge
Nonvaio01 06.12.2018
1. kein mitleid
sorry aber da habe ich kein mitleid. Wer sich so verhaelt ist schlicht weg fahrlaessig. In unser Firma werden immer mal wieder solche mails rumgeschickt von unser IT abteilung. Wer die oeffnet bekommt eine 2te mail mit einem [...]
sorry aber da habe ich kein mitleid. Wer sich so verhaelt ist schlicht weg fahrlaessig. In unser Firma werden immer mal wieder solche mails rumgeschickt von unser IT abteilung. Wer die oeffnet bekommt eine 2te mail mit einem link zum online training zu phishing.
spon_2999637 06.12.2018
2.
Stimmt - Admins, die sich so verhalten, sind schlicht fahrlässig. Ich würde denen eine Mail schicken mit Links zum Signieren von E-Mails und zum Signieren von Macros und zur Gruppenrichtlinie, die unsignierte Macros nicht [...]
Zitat von Nonvaio01sorry aber da habe ich kein mitleid. Wer sich so verhaelt ist schlicht weg fahrlaessig. In unser Firma werden immer mal wieder solche mails rumgeschickt von unser IT abteilung. Wer die oeffnet bekommt eine 2te mail mit einem link zum online training zu phishing.
Stimmt - Admins, die sich so verhalten, sind schlicht fahrlässig. Ich würde denen eine Mail schicken mit Links zum Signieren von E-Mails und zum Signieren von Macros und zur Gruppenrichtlinie, die unsignierte Macros nicht ausführen lässt. DANN kann der Admin über DAUs meckern.
disklord 06.12.2018
3. Und?
Es wurde nicht gesagt, daß der Phishingtest die einzige Massnahme ist. Admins die Phishingtests durchführen haben in der Regel das System bereits gehärtet, sonst wären sie nicht auf die Idee gekommen. Security-awereness [...]
Zitat von spon_2999637Stimmt - Admins, die sich so verhalten, sind schlicht fahrlässig. Ich würde denen eine Mail schicken mit Links zum Signieren von E-Mails und zum Signieren von Macros und zur Gruppenrichtlinie, die unsignierte Macros nicht ausführen lässt. DANN kann der Admin über DAUs meckern.
Es wurde nicht gesagt, daß der Phishingtest die einzige Massnahme ist. Admins die Phishingtests durchführen haben in der Regel das System bereits gehärtet, sonst wären sie nicht auf die Idee gekommen. Security-awereness muß man aber leider trotzdem immer wieder schulen, damit es nicht zu neuen, aber vermeidbaren Überraschungen kommt.
Sleeper_in_Metropolis 06.12.2018
4.
Egal welcher Trojaner oder Schädling in der letzten Zeit in den Medien auftauchte - der Angriffspunkt (verseuchte Mailanhänge) war immer der gleiche. Scheint aber immer (noch) mal wieder zu funktionieren.
Egal welcher Trojaner oder Schädling in der letzten Zeit in den Medien auftauchte - der Angriffspunkt (verseuchte Mailanhänge) war immer der gleiche. Scheint aber immer (noch) mal wieder zu funktionieren.
wiseacre 07.12.2018
5. Makros
Wer benutzt denn heutzutage noch Makros? Das war doch schon zu Zeiten von Word 97 no go. Und im Übrigen: Wie oft muss den noch vor Anhängen und Links in mails gewarnt werden?
Wer benutzt denn heutzutage noch Makros? Das war doch schon zu Zeiten von Word 97 no go. Und im Übrigen: Wie oft muss den noch vor Anhängen und Links in mails gewarnt werden?

Verwandte Artikel

Mehr im Internet

Artikel

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP