schieb.de > Tipps > Internet > Trojaner Emotet verwüstet IT-Infrastruktur

Trojaner Emotet verwüstet IT-Infrastruktur

12.12.2018 | Von Jörg Schieb

Internet

Der Maschinenhersteller Krauss-Maffei meldete diese Woche einen Trojaner-Angriff. Fertigung und Herstellung wurden lahmgelegt, das Unternehmen erpresst. Kein Einzelfall. In immer mehr Institutionen und Unternehmen dringen Trojaner ein, die Schaden verursachen. Teilweise gehen die Schäden in die Millionen. Weil die Trojaner immer ausgefeilter werden. Besonders aggressiv ist derzeit ein Trojaner namens Emotet.

Trojaner kennen wir: Das sind Schadprogramme, die den Weg in unsere Rechner oder Mobilgeräte finden, sich dort verstecken und Daten ausspionieren oder Zugänge blockieren.

Doch Emotet ist mehr als nur ein Trojaner, sondern ein ausgefeiltes Betrugskonzept. Die Betrüger spionieren ihre Opfer erst aus, bevor sie sie mit Mails belästigen, um so Zugang in die Rechner und Netzwerke zu gelangen. Emotet ist deshalb so erfolgreich und gefährlich, weil die Phishing-Mails, die verschickt werden, täuschend echt aussehen.

Sie werden scheinbar von Kollegen, Freunden, Bekannten, Geschäftskollegen verschickt und haben Inhalte, die durchaus zur üblichen Kommunikation passen. Im Anhang befindet sich dann ein Word-Dokument. Wer das öffnet und das enthaltene Makro aktiviert, der lässt den Trojaner dann rein in den eigenen Rechner.

Unternehmen sind bevorzugte Ziele

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und einige Landeskriminalämter (LKAs) melden Dutzende von Fällen, wo Emotet erfolgreich war. Vor allem in Unternehmen. Denn Unternehmen sind das beliebteste Ziel des Trojaners.

Dass die Leute das Word-Dokument öffnen, kann man verstehen, denn die Mails kommen ja scheinbar von Kollegen oder Bekannten – und enthalten einen Text, der Sinn ergibt, der sich auf eine Kommunikation davor bezieht. Da gehen bei niemandem die Alarmglocken an. Emotet ist halt sehr geschickt programmiert.

Mehrstufiger Angriff

Emotet beobachtet in einer ersten Phase das Netzwerk des Unternehmens. Wer schreibt wem, wer kommuniziert mit Leuten von außen – und worum geht es dabei? Eine Angriffsmethode, die Experten APT nennen – Advanced Persistent Thread. Wörtlich: Fortgeschrittene, dauerhafte Bedrohung.

Weil die Cyberbetrüger nicht mal eben an der Tür rütteln und schauen, ob sie versehentlich offen steht und dann reingehen. Stattdessen ist der Angriff gut geplant und in einzelne Schritte und Stadien unterteilt. Erst Ziel auswählen, dann Analyse der Infrastruktur, Nutzer ausspionieren, weiteren Angriff starten – und dann, wenn man im Netzwerk drin ist, richtig loslegen. Daten klauen. Erpressen. Das volle Programm.

Mehrstufiger Angriff

Alles Methoden, die auch bei Angriffen auf Regierungsnetzwerke wie dem Deutschen Bundestag angewendet werden. Das Gefährliche an Emotet ist, dass viele dieser aufwändigen Prozesse automatisiert wurden.

Die Algorithmen analysieren selbst, welche Schwachstellen es gibt, versuchen in die Netzwerke einzudringen, analysieren die Struktur und ermitteln die Personen, die im Netzwerk aktiv sind – und verschicken am Ende Phishing-Mails, um zum finalen Schlag zu kommen.

Das macht Emotet so gefährlich: Es werden hoch-anspruchsvolle Techniken eingesetzt, um Schaden anzurichten, und diese werden automatisiert. Ich mag mir das für die Zukunft gar nicht ausmalen, wenn die Cyberbetrüger KI einsetzen, um noch effektiver zu werden. Es drohen erhebliche Wellen von Cybercrime.

So geht Emotet vor

Es liegt in der Natur des Trojaners, dass nahezu alles möglich ist, wenn es der Trojaner erst mal erfolgreich in ein Netzwerk geschafft hat. Der Trojaner kann zum Beispiel sensible Daten abgreifen, etwa Zugangsdaten oder vertrauliche Informationen.

Emotet könnte aber auch Produktionsprozesse stören oder lahmlegen. Das wiederum eignet sich dazu, die Opfer zu erpressen: Entweder ihr zahlt, oder wir legen alles lahm. Man kann diese Art der Bedrohung gar nicht ernst genug nehmen. Es ist Zeit, sich Gedanken darüber zu machen, wie sich derartiges besser und effektiver abwehren lässt.

Dynamite Phishing

In Fachkreisen werden die Methoden von Emotet als „Dynamite-Phishing“ bezeichnet, also sozusagen als Angeln mit Dynamit.

Wir kennen den Begriff „Phishing“: Wir bekommen eine E-Mail, die aussieht, als wäre sie von einer Bank, einem Zahlungsdienst, einem Onlineshop – doch in Wahrheit ist sie gefälscht. Wir werden ermuntert, unsere echten Zugangsdaten auf einer gefälschten Seite einzugeben.

Landen die Daten erst mal in den Händen der Kriminellen, werden sie auch missbraucht. Das ist Phishing. Angeln. Bei der neue Trojaner Emotet aber äußerst aggressiv vorgeht, unzählige Versuche gleichzeitig unternimmt, wird von „Dynamite Phishing“ gesprochen. Also eine äußerst brutale Methode, alles andere als feinsinnig.

Aber trotzdem erfolgreich. Das gibt es auch im echten Leben: Da wird explosives Dynamit ins Wasser geworfen – und am Ende schwimmen ein paar tote Fische an der Wasseroberfläche. Dieselbe Methode, mehr oder weniger, wendet auch Emotet an. Deshalb der Begriff „Dynamite Phishing“.

 




Jetzt schieb.de Pro Mitglied werden - und PDFs, eBooks und Extras sichern


Mitglieder von schieb.de Pro bekommen jede Woche einen umfangreichen, hochwertigen Report im PDF-Format zugeschickt. Außerdem können Mitglieder kostenlos hochwertige eBooks laden. Und weitere Extras.

Jetzt Mitglied werden. Nur 5 EUR/Monat.

Stichwörter: , , , , , ,

Kommentarfunktion gesperrt.