Emotet

emotet

Ein genauerer Blick auf den Emotet Bankentrojaner

Banking-Trojaner können eines der finanziell schädlichsten Elemente von Malware sein, die Computer infizieren können. Bankentrojaner werden normalerweise als jenes Element bösartiger Software angesehen, das darauf abzielt, Zugang zu vertraulichen Informationen im Zusammenhang mit den Bankgeschäften des Opfers und den Aktivitäten mit anderen Finanzinstituten zu erhalten. Siekönnen als legitime Software erscheinen und können versehentlich über eine Spam-E-Mail-Kampagne heruntergeladen werden. Nach der Installation verfügen diese Trojaner über eine Reihe von Funktionen, die dazu dienen, ihre Aufgabe besser zu erfüllen, darunter das Ausführen ausführbarer Dateien, das Herunterladen und Versenden von Dateien aus der Ferne, der Zugriff auf Informationen aus der Zwischenablage des Betriebssystems, der Zugriff auf den Browser-Verlauf und auf Cookies sowie die Protokollierung von Tastenanschlägen.
Sobald ein Rechner infiziert ist, die Zugangsdaten zu Bank-Websites und jetzt auch zu kryptografischen Währungsumtauschprogrammen preisgibt, kann der Angreifer in betrügerischer Weise Gelder und kryptografische Währung vom Opfer stehlen. Selbst wenn keine Gelder gestohlen werden, können die Kosten für die Entfernung der Infektion in die Millionen Euro gehen. Emotet ist eine dieser Bedrohungen; sie ist durch mehrfache Upgrades und die ständige Anwendung neuer Taktiken, die eine Infektion besser garantieren, in den Vordergrund gerückt.

Was ist Emotet?

Emotet wurde 2014 von Sicherheitsforschern entdeckt. Ursprünglich war die Malware dazu gedacht, sich auf einen Zielcomputer einzuschleichen, Sicherheitssoftware zu umgehen und Bankdaten zu stehlen. Spätere Versionen enthalten andere Malware-Stämme wie Lösegeld, um die Opfer weiter zuerpressen, und wurmartige Fähigkeiten, die eine seitliche Verbreitung über ein Netzwerk ermöglichen, sobald ein Computer infiziert ist. Dies führte dazu, dass das US-Heimatschutzministerium zu dem Schluss kam, dass Emotet eine erhebliche Bedrohung für Regierungsabteilungen, private Organisationen und Einzelpersonen darstellte. Es sagte auch, dass Emotet zu einem der kostspieligsten und zerstörerischsten Stücke von Malware aufgestiegen ist, die derzeit betrieben werden.
Normalerweise wurde Emotet über Spam-E-Mail-Kampagnen verbreitet, wobei die Infektion über einbösartiges Skript, makrofähige Dokumentdateien oder bösartige Links erfolgte. Diese E-Mails sind mitHilfe von Social Engineering-Techniken so zugeschnitten, dass der Benutzer die Malware anklicken oder herunterladen kann. E-Mails hatten oft eine Betreffzeile wie "Ihre Rechnung" oder Paketversandinformationen von renommierten Kurierunternehmen, um den Benutzer dazu zu bringen, auf einen bösartigen Link zu klicken. Frühe Versionen der Malware hingen von einer bösartigen JavaScript-Datei ab, die ausgeführt wurde, während spätere Versionen makrofähige Dokumente verwendeten, um die bösartige Nutzlast über Befehls- und Kontrollserver unter der Kontrolle des Angreifers abzurufen.
Im Laufe der Jahre entwickelten sich die Taktiken weiter, einschließlich der Art und Weise, wie die Malware der Erkennung und Analyse durch Antiviren-Softwarepakete entgeht. Emotet weiß, ob sie in einer virtuellen Maschine läuft; wenn ja, bleibt sie inaktiv. Virtuelle Maschinen werden von Sicherheitsforschern verwendet, um Malware und ihre sichere Funktionsweise zu untersuchen. Emotet verhindert wirksam, dass solche Analysen durchgeführt werden. Spätere Versionen waren auch in der Lage, Updates direkt von den Kommando- und Kontroll-Servern zu empfangen, ähnlich wie legitime Software Updates ausführt.

Emotet's Verteilung unter dem Mikroskop

Wie bereits erwähnt, wird Emotet in der Regel durch Spam-E-Mail-Kampagnen verbreitet, aber es kann auch bereits kompromittierte E-Mail-Konten übernehmen. Die Malware sendet dann Spam-E-Mails an andere Adressen, die in der Kontaktliste des infizierten Computers gefunden werden. Die Empfänger dieser Spam-E-Mails sind möglicherweise eher geneigt, die E-Mail zu öffnen und auf einenbösartigen Link zu klicken oder ein bösartiges Dokument zu öffnen. Wenn Emotet feststellt, dass der infizierte Rechner mit einem Netzwerk verbunden ist, versucht er, die mit dem Netzwerk verbundenen Server durch einen Brute-Force-Angriff zu infizieren. Diese Angriffstechnik verwendet Listen von Passwörtern und Benutzernamen, oft Standard-Anmeldeinformationen, um in ein Netzwerk einzubrechen, indem die Anmeldeinformationen übermittelt werden, bis der richtige gefunden und der Zugriff gewährt wird.
Als Beweis für Emotets trickreiche Natur wurde zunächst geglaubt, dass sie über die durchgesickerten NSA-Tools, die als Double Pulsar und Eternal Blue bekannt sind, verbreitet wurde. Diese Tools wurden zur Verbreitung von WannaCry und NotPetya etwa zur gleichen Zeit verwendet, als neuere Versionen von Emotet entdeckt wurden, und die Art und Weise, wie neue Rechner infiziert wurden, schien auf den ersten Blick ähnlich zu sein. Später wurde entdeckt, dass TrickBot, ein weiterer Trojaner, zur Verbreitung von Emotet und zur Ausnutzung von EternalBlue verwendet wurde. Nachdem TrickBot erfolgreich ein Netzwerk infiziert hatte, legte er später Emotet zusammen mit anderen Malware-Stämmen ab.
Am 16. September 2019 wurde eine neue Emotet-Kampagne mit einer neuen Verteilungsmethode entdeckt. Nach mehreren Monaten der Inaktivität liefen Emotets Kommando- und Kontroll-Server wieder an. Diesmal kehrte Emotet zu den Spam-E-Mails zurück, aber statt wie eine E-Mail einer seriösen Organisation auszusehen, enthielt sie nun ein Exemplar eines Buches, "Permanent Record" von Edward Snowden. Forscher entdeckten diese E-Mails mit Snowden-Themen, die sich an Englisch-, Italienisch-, Deutsch-, Französisch- und Spanischsprachige richteten.
Sobald der Benutzer versucht, das Buch zu öffnen, von dem er erwartet, dass es echt ist, wird er mit einer Fehlermeldung mit einem offiziell aussehenden Microsoft-Word-Logo begrüßt, in der es heißt: "Word wurde nicht aktiviert", und um den Dienst weiter zu nutzen, muss der Benutzer auf die Schaltfläche "Inhalt aktivieren" klicken. Wenn die Schaltfläche tatsächlich angeklickt wird, werden Makros aktiviert, die einen PowerShell-Befehl ausführen und versuchen, Emotet von einer der drei eingebetteten URLs herunterzuladen. Nach erfolgreichem Download wird der Trojaner im Hintergrund ausgeführt und installiert andere Malware-Exemplare.

Eine Geschichte der sich ändernden Taktiken

Seit der Entdeckung von Emotet im Jahr 2014 hat sich der Banktrojaner kontinuierlich weiterentwickelt, um den Opfern immer wieder Ausweise und Gelder zu stehlen. Die erste Version von Emotet, die den späteren Versionen kaum noch ähnelt, wurde entwickelt, um Bankdaten durch das Abfangen von Internetverkehr zu stehlen. Kurz nachdem die erste Version begann, Benutzer zu Opfern zu machen, erschien eine zweite Version, die mehrere neue Funktionen enthielt, die die Gefahr von Emotet drastisch erhöhten: ein Geldüberweisungssystem, ein Malspam-Modul zur Verteilung von Spam-Mails an Adressen in der Kontaktliste und ein Bankmodul, das auf eine Vielzahl deutscher und österreichischer Banken abzielte. Offensichtlich erkannten die Betreiber von Emotet, dass sie einer guten Sache auf der Spur waren, und im Januar 2015 wurde eine neue Version entdeckt, die verbesserte Stealth-Fähigkeiten und die Fähigkeit, Schweizer Banken innerhalb des Bankmoduls zu adressieren, beinhaltete.

E-Mail-Verteilung von Emotet

Von 2015 bis 2018 würde die Aktivität von Emotet steigen und fallen, ohne dass es zu nennenswerten Aktualisierungen der Malware käme. Im Jahr 2019 würde die Malware internationaleSchlagzeilen machen, wenn Lake City, Florida, das jüngste hochkarätige Opfer wird. Emotet wurde alsprimärer Infektionsvektor eingesetzt, damit Lösegeld und andere Trojaner zu einem späteren Zeitpunkt in die Nutzlasten geworfen werden konnten. In diesem Fall wurde die Ryuk-Lösungsmittelwerbung fallen gelassen, was zu einer Infektion führte, die die Stadt fast 500.000 Dollaran Lösegeldzahlungen kosten würde.
Neben der als Buch von Edward Snowden getarnten Verteilungskampagne wurde im August 2019 eine Kampagne entdeckt, bei der Botnets erneut Spam-E-Mails mit bösartigen Anhängen verteilten, die Benutzer dazu bringen sollten, Makros zu aktivieren. Eine weitere Kampagne, die kurz nach der Kampagne im August entdeckt wurde, richtete sich an deutsch-, polnisch-, italienisch- und englischsprachige Personen und wurde von kompromittierten WordPress-Websites heruntergeladen.

Emotet's Ziele

Wie bereits erwähnt, erklärte das Heimatschutzministerium, dass Regierungsabteilungen, Unternehmen und Einzelpersonen als Ziele für die Betreiber der Malware angesehen werden. Emotetkann jeden Computer mit einer Internet- oder Netzwerkverbindung ins Visier nehmen, da sie speziell auf die Kampagnen zugeschnitten sind. Wenn sie auf ein Unternehmen abzielen, werden die Spam-E-Mails so geschrieben, dass sie vorgeben, eine Rechnung oder Lieferinformationen zu sein. Bei Einzelpersonen könnte die Spam-Mail ein bösartiger Anhang sein, der sich als Buch oder etwas anderes Beliebtes tarnt.
Da Emotet in der Lage ist, nicht nur Bankausweise zu stehlen, sondern auch Lösegeldforderungen zu stellen, wird die Bedrohung für potenzielle Ziele exponentiell erhöht. Darüber hinaus zielt Emotet aufBankdaten ab und ist in der Lage, Adressen von Brieftaschen mit Kryptogeld zu stehlen oder Adressen in Brieftaschen unter der Kontrolle der Betreiber zu ersetzen. Der Erfolg von Emotet hat es den Betreibern auch ermöglicht, nicht nur deutschsprachige Länder und ihre Banken zu erreichen; neuere Kampagnen zielen auf kanadische, britische und amerikanische Organisationen und Einzelpersonen ab.

Sich selbst und Ihre Organisation schützen

Zusätzlich zur Sicherstellung, dass Sie ein seriöses Antiviren-Paket installiert haben, gibt es einige Dinge, die Sie tun können, um Ihre Sicherheitslage zu verbessern. Dazu gehören:
Halten Sie Ihr Betriebssystem und Ihre Software auf dem neuesten Stand. Emotet-Infektionen wurden mit TrickBot-Infektionen in Verbindung gebracht, die Schwachstellen ausnutzen. Wenn Sie Ihre Software auf dem neuesten Stand halten, können Angreifer diesen Infektionsvektor nicht mehr verwenden.
Vermeiden Sie das Herunterladen oder Klicken auf bösartige Links. Angesichts der von Emotet bevorzugten Taktik, ein mit bösartigen Makros geladenes Word-Dokument zu verwenden, sollten Sie niemals Makros aktivieren oder auf Schaltflächen klicken, die Makros aktivieren. Wenn eine solche E-Mail innerhalb einer Organisation entdeckt wird, wenden Sie sich an die Verantwortlichen für die Cybersicherheit der Organisation.
Verwenden Sie niemals Standardpasswörter oder schwache Passwörter. Dadurch wird verhindert, dass Sie Opfer von Brute-Force-Angriffen oder Credential-Stuffing-Angriffen werden. Aktivieren Sie außerdem, wo immer möglich, eine Zwei-Faktor-Authentifizierung, insbesondere wenn es um Online-Banking-Kanäle und andere Finanzkanäle geht.

Schlussfolgerung

Da Emotet seit 2014 aktiv ist und sich ständig weiterentwickelt hat, wird es noch eine Weile bestehen. Seine Autoren haben eine Vielzahl von Techniken und Taktiken übernommen, die die Forscher auf Trab halten. Es gibt keine Anzeichen dafür, dass sich dies verlangsamen wird. Daher müssen sich Anwender aller Art über die vielfältigen Bedrohungen durch Emotet und seine kriminellen Partner Ryuk und TrickBot aufklären.
Um diesen Punkt der Verteidigung durch Aufklärung weiter zu veranschaulichen, wurde die Stadt Allentown, Pennsylvania, im Jahr 2018 ein öffentlichkeitswirksames Opfer von Emotet. Die Stadt nahm die Hilfe des Microsoft-Reaktionsteams für Vorfälle in Anspruch, um die Infektion zu beseitigenund zu reinigen. Die Infektion wurde gemildert, aber nicht ohne Kosten: Man schätzte, dass die Stadt fast 1 Million Dollar aufwenden musste, um die Infektion zu bekämpfen. Es gilt immer darauf-hinzuweisen, dass Vorbeugen besser ist als Heilen.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen