Aktuelles, Branche - geschrieben von dp am Sonntag, Februar 10, 2019 12:43 - noch keine Kommentare
Emotet: Erneute Verbreitung über gefälschte E-Mails
Michael Kretschmer gibt Empfehlungen für Unternehmen und private Nutzer
[datensicherheit.de, 10.02.2019] Ende Januar 2019 wurde bekannt, dass sich der Trojaner „Emotet“ erneut im Umlauf befindet – er versteckt sich laut Medienberichten derzeit unter anderem hinter gefälschten E-Mails von Amazon, Telekom oder Vodafone. Bei diesen E-Mails handelt es sich laut Michael Kretschmer, „VP EMEA“ von Clearswift RUAG Cyber Security, um „sehr professionell erstellte und dadurch täuschend echt aussehende Phishing-Nachrichten“, die den Leser dazu verleiten sollen, das Attachment zu öffnen. Der Grund für die hohe Glaubwürdigkeit der Nachrichten sei die Tatsache, dass die Angreifer sich Technologien wie „Machine Learning“ oder KI (Künstliche Intelligenz) bedienten, um diese E-Mails möglichst vertrauensvoll erscheinen zu lassen.
Gefälschte E-Mails mit unechter Rechnung als „Word“-Dokument im Anhang
Im Anhang der Nachricht finde sich in einem Großteil der Fälle eine unechte Rechnung als „Word“-Dokument mit eingebetteter Makrofunktion. Kretschmer: „Öffnet der Empfänger den schadhaften Anhang, ist der Rechner infiziert und der Trojaner befindet sich im System. Wird der Schadcode ausgeführt, verwendet dieser auch hier extrem fortgeschrittene Technologien und Exploits zur internen Weiterverarbeitung.“
So sei beispielsweise festgestellt worden, dass „Emotet“ den sogenannten „Eternal Blue Exploit“ verwendet – „jene Schwachstelle, die der US-Geheimdienst NSA jahrelang genutzt hat, bevor diese an Microsoft gemeldet wurde“. Zwar gebe es Patches für diesen Exploit, doch diese seien bisher unter Nutzern nicht sehr weit verbreitet. Der CERT-Bund des BSI, das „Computer Emergency Response Team“ für Bundesbehörden, habe Ende Januar 2019 ausdrücklich vor diesen gefälschten E-Mails gewarnt.
E-Mail-Sicherheit: Lösung mit „Spoof Detection“ empfohlen
Bezüglich der Schutzvorkehrungen im Hinblick auf „Emotet“ gebe es eine Reihe von Maßnahmen, die User und Unternehmen ergreifen könnten, um sich zu schützen:
Im Hinblick auf „Spoofing“ (Vortäuschung) sei es sinnvoll, auf eine Lösung zur E-Mail-Sicherheit zurückzugreifen, die über ein Feature zur „Spoof Detection“ verfügt, „welche sich idealerweise in den Regeln zur Spam-Filterung einstellen lässt“. Sinnvoll sei es auch, wenn Lösungen die Einrichtung und Verwendung von DMARC (Domain-based Message Authentication, Reporting and Conformance) unterstützten. „Das Besondere bei diesem DNS-basierten Verfahren ist, dass auch der ,From‘-Header einer Mail berücksichtigt und überprüft wird, so dass ,From‘-Spoofing dadurch verhindert werden kann.“
Ausführbare Dateien im Anhang grundsätzlich blocken!
Allerdings seien selbstverständlich nicht alle „Emotet“-Angriffe auf „Spoofing“ zurückzuführen. In manchen Fällen würden E-Mail-Adressen verwendet, „die legitim und nicht gefälscht sind, allerdings gehackt wurden“. Hierbei sei es sinnvoll, „wenn die eingesetzte Lösung zur E-Mail-Sicherheit Funktionen bietet, mit dessen Hilfe ausführbare Dateien von vornherein geblockt werden können“.
Auch ließen sich bei einigen Herstellern verschlüsselte Archive und „gefährliche“ Dateiendungen, oder sogar jegliche Dokumente mit aktiven Inhalten, blockieren. Um zusätzliche Sicherheit zu gewähren, sollte die Schutzlösung um Antivirussoftware erweitert werden – manche Hersteller böten die Möglichkeit der Erweiterung um bis zu drei Virenscanner. Dies sei als erweiterte Maßnahme „in jedem Falle sinnvoll“, da sich die Erkennungsrate der Scanner wesentlich erhöhe.
„Word“-Dokumente im Web: Eigenschaften können Angreifern Informationen liefern
Abgesehen von technischen Maßnahmen sollten Unternehmen unbedingt auf ihre ausgehenden Daten achten – „schließlich müssen die Angreifer ihre Informationen über den Betrieb irgendwo eingesehen haben“. Diese Unternehmensdaten könnten aus „Word“-Dokumenten stammen, die im Web verfügbar sind: Diese enthielten (Dokument)-Eigenschaften, und somit gleichzeitig Informationen über den Betrieb, welche die Angreifer zu ihrem Vorteil nutzen könnten.
„All diese Maßnahmen in Kombination führen dazu, dass Nutzer und Unternehmen gut gewappnet sind vor dem Kompromittieren ihrer Daten und dem damit einhergehenden finanziellen Schaden sowie dem oftmals nicht messbaren Reputationsverlust“, sagt Kretschmer.
Michael Kretschmer: Warnung vor Reputationsverlust
Weitere Informationen zum Thema:
datenscherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor
datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv
Aktuelles, Experten - Sep 13, 2024 0:52 - noch keine Kommentare
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
weitere Beiträge in Experten
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
- BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens
Aktuelles, Branche - Sep 14, 2024 0:17 - noch keine Kommentare
SANS Institute gibt eBook zur Cloud-Sicherheit heraus
weitere Beiträge in Branche
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
- NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren