Aktuelles, Branche - geschrieben von dp am Sonntag, Februar 10, 2019 12:43 - noch keine Kommentare
Emotet: Erneute Verbreitung über gefälschte E-Mails
Michael Kretschmer gibt Empfehlungen für Unternehmen und private Nutzer
[datensicherheit.de, 10.02.2019] Ende Januar 2019 wurde bekannt, dass sich der Trojaner „Emotet“ erneut im Umlauf befindet – er versteckt sich laut Medienberichten derzeit unter anderem hinter gefälschten E-Mails von Amazon, Telekom oder Vodafone. Bei diesen E-Mails handelt es sich laut Michael Kretschmer, „VP EMEA“ von Clearswift RUAG Cyber Security, um „sehr professionell erstellte und dadurch täuschend echt aussehende Phishing-Nachrichten“, die den Leser dazu verleiten sollen, das Attachment zu öffnen. Der Grund für die hohe Glaubwürdigkeit der Nachrichten sei die Tatsache, dass die Angreifer sich Technologien wie „Machine Learning“ oder KI (Künstliche Intelligenz) bedienten, um diese E-Mails möglichst vertrauensvoll erscheinen zu lassen.
Gefälschte E-Mails mit unechter Rechnung als „Word“-Dokument im Anhang
Im Anhang der Nachricht finde sich in einem Großteil der Fälle eine unechte Rechnung als „Word“-Dokument mit eingebetteter Makrofunktion. Kretschmer: „Öffnet der Empfänger den schadhaften Anhang, ist der Rechner infiziert und der Trojaner befindet sich im System. Wird der Schadcode ausgeführt, verwendet dieser auch hier extrem fortgeschrittene Technologien und Exploits zur internen Weiterverarbeitung.“
So sei beispielsweise festgestellt worden, dass „Emotet“ den sogenannten „Eternal Blue Exploit“ verwendet – „jene Schwachstelle, die der US-Geheimdienst NSA jahrelang genutzt hat, bevor diese an Microsoft gemeldet wurde“. Zwar gebe es Patches für diesen Exploit, doch diese seien bisher unter Nutzern nicht sehr weit verbreitet. Der CERT-Bund des BSI, das „Computer Emergency Response Team“ für Bundesbehörden, habe Ende Januar 2019 ausdrücklich vor diesen gefälschten E-Mails gewarnt.
E-Mail-Sicherheit: Lösung mit „Spoof Detection“ empfohlen
Bezüglich der Schutzvorkehrungen im Hinblick auf „Emotet“ gebe es eine Reihe von Maßnahmen, die User und Unternehmen ergreifen könnten, um sich zu schützen:
Im Hinblick auf „Spoofing“ (Vortäuschung) sei es sinnvoll, auf eine Lösung zur E-Mail-Sicherheit zurückzugreifen, die über ein Feature zur „Spoof Detection“ verfügt, „welche sich idealerweise in den Regeln zur Spam-Filterung einstellen lässt“. Sinnvoll sei es auch, wenn Lösungen die Einrichtung und Verwendung von DMARC (Domain-based Message Authentication, Reporting and Conformance) unterstützten. „Das Besondere bei diesem DNS-basierten Verfahren ist, dass auch der ,From‘-Header einer Mail berücksichtigt und überprüft wird, so dass ,From‘-Spoofing dadurch verhindert werden kann.“
Ausführbare Dateien im Anhang grundsätzlich blocken!
Allerdings seien selbstverständlich nicht alle „Emotet“-Angriffe auf „Spoofing“ zurückzuführen. In manchen Fällen würden E-Mail-Adressen verwendet, „die legitim und nicht gefälscht sind, allerdings gehackt wurden“. Hierbei sei es sinnvoll, „wenn die eingesetzte Lösung zur E-Mail-Sicherheit Funktionen bietet, mit dessen Hilfe ausführbare Dateien von vornherein geblockt werden können“.
Auch ließen sich bei einigen Herstellern verschlüsselte Archive und „gefährliche“ Dateiendungen, oder sogar jegliche Dokumente mit aktiven Inhalten, blockieren. Um zusätzliche Sicherheit zu gewähren, sollte die Schutzlösung um Antivirussoftware erweitert werden – manche Hersteller böten die Möglichkeit der Erweiterung um bis zu drei Virenscanner. Dies sei als erweiterte Maßnahme „in jedem Falle sinnvoll“, da sich die Erkennungsrate der Scanner wesentlich erhöhe.
„Word“-Dokumente im Web: Eigenschaften können Angreifern Informationen liefern
Abgesehen von technischen Maßnahmen sollten Unternehmen unbedingt auf ihre ausgehenden Daten achten – „schließlich müssen die Angreifer ihre Informationen über den Betrieb irgendwo eingesehen haben“. Diese Unternehmensdaten könnten aus „Word“-Dokumenten stammen, die im Web verfügbar sind: Diese enthielten (Dokument)-Eigenschaften, und somit gleichzeitig Informationen über den Betrieb, welche die Angreifer zu ihrem Vorteil nutzen könnten.
„All diese Maßnahmen in Kombination führen dazu, dass Nutzer und Unternehmen gut gewappnet sind vor dem Kompromittieren ihrer Daten und dem damit einhergehenden finanziellen Schaden sowie dem oftmals nicht messbaren Reputationsverlust“, sagt Kretschmer.
Michael Kretschmer: Warnung vor Reputationsverlust
Weitere Informationen zum Thema:
datenscherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor
datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv
Kooperation

Mitgliedschaft
Mitgliedschaft

Multiplikator

Gefragte Themen
- Windows 10-Bug: Bluescreen durch Aufruf eines bestimmten Pfades
- Kronos und GootKit: Malware-Kampagne attackiert Nutzer in Deutschland
- DarkMarket abgeschaltet: Reaktionen im Darknet
- Thema Impfstoff als Aufhänger für Cyber-Attacken
- Überarbeitete Standarddatenschutzklauseln: BfDI nimmt Stellung
- Tenable kommentiert erstes Microsoft-Update des Jahres 2021
- Covid-19: Schwarzmarkt für Impfstoffe im Darknet expandiert
- Bestandsdatenauskunft: Warnung vor Internet-Surfspionage
- Zunahme der Bedeutung der Cloud – und der Unsicherheit
- Ungeschützter Online-Zugriff: 45 Millionen medizinische Bilder weltweit
- TERREG: Umstrittene EU-Anti-Terror-Internetverordnung angenommen
Aktuelles, Experten - Jan 15, 2021 21:30 - noch keine Kommentare
Überarbeitete Standarddatenschutzklauseln: BfDI nimmt Stellung
weitere Beiträge in Experten
- Bestandsdatenauskunft: Warnung vor Internet-Surfspionage
- TERREG: Umstrittene EU-Anti-Terror-Internetverordnung angenommen
- BSI-Einladung zum 17. Deutschen IT-Sicherheitskongress
- eco warnt vor übereiltem Anti-Hass-Gesetz
- Sichere Smartphones: Umfrage zu Maßnahmen der Nutzer
Branche - Jan 17, 2021 22:10 - noch keine Kommentare
Windows 10-Bug: Bluescreen durch Aufruf eines bestimmten Pfades
weitere Beiträge in Branche
- DarkMarket abgeschaltet: Reaktionen im Darknet
- Thema Impfstoff als Aufhänger für Cyber-Attacken
- Tenable kommentiert erstes Microsoft-Update des Jahres 2021
- Covid-19: Schwarzmarkt für Impfstoffe im Darknet expandiert
- Zunahme der Bedeutung der Cloud – und der Unsicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren