Ein alter Bekannter ist zurück. Ganz plötzlich machen Berichte die Runde, dass die Emotet Ransomware wieder da ist und enorm heftig zuschlägt. So heißt es jetzt. Ich hatte das Thema auch mal im Blog. Und so kommen derzeit etliche Publizisten und Forensiker und Co. um die Ecke und warnen davor, dass das Botnetz derzeit wieder aufgebaut wird. Jetzt müssen wir uns mal umschauen, was das am Ende bedeuten kann. Mir ist klar, für viele Internetnutzer ist das Thema schwer greifbar. Gleichwohl ist es aber sehr wichtig.
Was ist denn die Emotet Ransomware?
Also bei der Emotet Ransomware handelt es sich um ein ganzes Bündel an Schadprogrammen, vornehmlich für Windows. Sie kommt in Form von Makroviren um die Ecke, die über Anhänge von täuschend echt aussehenden Emails die Systeme der Empfänger mit Trojanern infizieren. Ziel ist es, das System oder die Systeme des Opfers zu verschlüsseln und Lösegeld zu erpressen. Erst im Januar 2021 wurde behauptet, die Emotet Ransomware wäre unschädlich.
Über C++ Makros werden hauptsächlich über Dateien, die mit gängigen Office-Programmen geöffnet werden, Viren und Trojaner installiert. Das wurde erstmals im Sommer 2014 von Trend Micro erkannt. Und seitdem gibt es immer wieder größere und kleinere Angriffswellen. All das wird allgemein als APT-Angriff klassifiziert. Nicht selten haben die Angriffe dann dazu geführt, dass zumindest teilweise die IT-Infrastruktur von Unternehmen neu aufgebaut werden musste.
Wie gesagt, es wurde dann behauptet, dass das Netzwerk der Emotet Ransomware zerschlagen sei. Die Command & Control Server des Netzwerk befanden sich unter Kontrolle von Europol. Und im April 2021 wurde dann die gesamte Infrastruktur abgeschaltet. Die Schadsoftware wurde von allen infizierten Systemen entfernt. So weit, so gut. Aber die gefühlte Sicherheit war nur von kurzer Dauer.
Emotet Teil 2, Neuaufbau über TrickBot
Nun heißt es ganz plötzlich, dass das Netzwerk der Emotet Ransomware wieder aufgebaut werden soll. Dazu wird wohl die Schadsoftware TrickBot genutzt. Auf infizierten Geräten wird momentan ein Loader für Emotet abgelegt. Allerdings seien momentan keine Aktivitäten bezüglich Spamming oder Malware-Verbreitung über Office-Dokumente zu beobachten. Allerdings heißt das am Ende nicht viel. Nur, dass im Moment noch nichts passiert ist.
Es könnte sein, dass die Infrastruktur einfach von Grund auf neu gebaut wird. Es könnten also demnächst neue Email-Kampagnen starten. Vielleicht sind sie auch schon gestartet, und man hat es eben noch nicht so direkt mitbekommen. Und mal ehrlich: Man hat erst in den letzten Tagen wieder davon Wind bekommen. Es könnte also tatsächlich nur noch eine Frage der Zeit sein, bis die Erpresser wieder zuschlagen.
Dabei müssen wir ganz klar festhalten, dass es nicht die gleichen Verbrecher sein müssen. Die Emotet Ransomware konnte angemietet werden. So, wie ich mit Office 365 Software-as-a-Service anmiete, so ist das mit der Schadsoftware Malware-as-a-Service. Klingt schräg, ist aber am Ende genau das, worauf es hinausläuft.
Schutz vor einem Angriff?
Ich weiß noch, wie das damals bei einem unserer Kunden war. Gut, da ging es um Snake, nicht um Emotet. Aber grundsätzlich ist es schon so, dass man gar nicht vorsichtig genug sein kann. Aber es muss doch eine Möglichkeit geben, sich vor der Emotet Ransomware zu schützen. Gut, am Ende gilt das eigentlich für alle möglichen Angriffe. Aber das BSI empfiehlt folgendes:
- Prüft, ob der Absender der ist, der er vorgibt zu sein
- Seid vorsichtig bei Anhängen und Links
- Installiert zeitnah die angebotenen Updates für Betriebssystem und Anwendungen
- Nutzt Antivirus-Software mit regelmäßiger Signatur-Aktualisierung
- Führt Datensicherungen durch
- Deinstalliert nicht benötigte Software
- Deaktiviert Makros in Office-Anwendungen
- Schränkt Dienste wie Windows Script Host ein
- Führt Application Whitelists
- Für Administratoren: Überwacht Systemprotokolle hinsichtlich Anomalien
- Für Administratoren: Segmentiert eure Netzwerke
- Für Administratoren: Gebt den Anwendern so wenig Rechte wie möglich
Und so weiter und so fort. Diesen Artikel kann man nur immer wieder empfehlen. Allerdings gibt es auch dann keine absolute Sicherheit. Deshalb ist das Wichtigste, dass man als Anwender lieber einmal mehr vor einem Klick nachdenkt. Diese ganze Nummer mit der Emotet Ransomware wird wieder um sich greifen. Die Frage ist: Wie sehr lassen wir das zu?