Aktuelles, Branche - geschrieben von dp am Sonntag, Februar 10, 2019 12:43 - noch keine Kommentare
Emotet: Erneute Verbreitung über gefälschte E-Mails
Michael Kretschmer gibt Empfehlungen für Unternehmen und private Nutzer
[datensicherheit.de, 10.02.2019] Ende Januar 2019 wurde bekannt, dass sich der Trojaner „Emotet“ erneut im Umlauf befindet – er versteckt sich laut Medienberichten derzeit unter anderem hinter gefälschten E-Mails von Amazon, Telekom oder Vodafone. Bei diesen E-Mails handelt es sich laut Michael Kretschmer, „VP EMEA“ von Clearswift RUAG Cyber Security, um „sehr professionell erstellte und dadurch täuschend echt aussehende Phishing-Nachrichten“, die den Leser dazu verleiten sollen, das Attachment zu öffnen. Der Grund für die hohe Glaubwürdigkeit der Nachrichten sei die Tatsache, dass die Angreifer sich Technologien wie „Machine Learning“ oder KI (Künstliche Intelligenz) bedienten, um diese E-Mails möglichst vertrauensvoll erscheinen zu lassen.
Gefälschte E-Mails mit unechter Rechnung als „Word“-Dokument im Anhang
Im Anhang der Nachricht finde sich in einem Großteil der Fälle eine unechte Rechnung als „Word“-Dokument mit eingebetteter Makrofunktion. Kretschmer: „Öffnet der Empfänger den schadhaften Anhang, ist der Rechner infiziert und der Trojaner befindet sich im System. Wird der Schadcode ausgeführt, verwendet dieser auch hier extrem fortgeschrittene Technologien und Exploits zur internen Weiterverarbeitung.“
So sei beispielsweise festgestellt worden, dass „Emotet“ den sogenannten „Eternal Blue Exploit“ verwendet – „jene Schwachstelle, die der US-Geheimdienst NSA jahrelang genutzt hat, bevor diese an Microsoft gemeldet wurde“. Zwar gebe es Patches für diesen Exploit, doch diese seien bisher unter Nutzern nicht sehr weit verbreitet. Der CERT-Bund des BSI, das „Computer Emergency Response Team“ für Bundesbehörden, habe Ende Januar 2019 ausdrücklich vor diesen gefälschten E-Mails gewarnt.
E-Mail-Sicherheit: Lösung mit „Spoof Detection“ empfohlen
Bezüglich der Schutzvorkehrungen im Hinblick auf „Emotet“ gebe es eine Reihe von Maßnahmen, die User und Unternehmen ergreifen könnten, um sich zu schützen:
Im Hinblick auf „Spoofing“ (Vortäuschung) sei es sinnvoll, auf eine Lösung zur E-Mail-Sicherheit zurückzugreifen, die über ein Feature zur „Spoof Detection“ verfügt, „welche sich idealerweise in den Regeln zur Spam-Filterung einstellen lässt“. Sinnvoll sei es auch, wenn Lösungen die Einrichtung und Verwendung von DMARC (Domain-based Message Authentication, Reporting and Conformance) unterstützten. „Das Besondere bei diesem DNS-basierten Verfahren ist, dass auch der ,From‘-Header einer Mail berücksichtigt und überprüft wird, so dass ,From‘-Spoofing dadurch verhindert werden kann.“
Ausführbare Dateien im Anhang grundsätzlich blocken!
Allerdings seien selbstverständlich nicht alle „Emotet“-Angriffe auf „Spoofing“ zurückzuführen. In manchen Fällen würden E-Mail-Adressen verwendet, „die legitim und nicht gefälscht sind, allerdings gehackt wurden“. Hierbei sei es sinnvoll, „wenn die eingesetzte Lösung zur E-Mail-Sicherheit Funktionen bietet, mit dessen Hilfe ausführbare Dateien von vornherein geblockt werden können“.
Auch ließen sich bei einigen Herstellern verschlüsselte Archive und „gefährliche“ Dateiendungen, oder sogar jegliche Dokumente mit aktiven Inhalten, blockieren. Um zusätzliche Sicherheit zu gewähren, sollte die Schutzlösung um Antivirussoftware erweitert werden – manche Hersteller böten die Möglichkeit der Erweiterung um bis zu drei Virenscanner. Dies sei als erweiterte Maßnahme „in jedem Falle sinnvoll“, da sich die Erkennungsrate der Scanner wesentlich erhöhe.
„Word“-Dokumente im Web: Eigenschaften können Angreifern Informationen liefern
Abgesehen von technischen Maßnahmen sollten Unternehmen unbedingt auf ihre ausgehenden Daten achten – „schließlich müssen die Angreifer ihre Informationen über den Betrieb irgendwo eingesehen haben“. Diese Unternehmensdaten könnten aus „Word“-Dokumenten stammen, die im Web verfügbar sind: Diese enthielten (Dokument)-Eigenschaften, und somit gleichzeitig Informationen über den Betrieb, welche die Angreifer zu ihrem Vorteil nutzen könnten.
„All diese Maßnahmen in Kombination führen dazu, dass Nutzer und Unternehmen gut gewappnet sind vor dem Kompromittieren ihrer Daten und dem damit einhergehenden finanziellen Schaden sowie dem oftmals nicht messbaren Reputationsverlust“, sagt Kretschmer.
Michael Kretschmer: Warnung vor Reputationsverlust
Weitere Informationen zum Thema:
datenscherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor
datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv
Aktuelles, Experten - Jan. 13, 2025 20:24 - noch keine Kommentare
Praxistipps: Wie Datenschutz im Alltag funktionieren kann
weitere Beiträge in Experten
- Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025
- E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden
- Monitor Digitalpolitik: Bitkom-Stellungnahme zu Fortschritten kurz vor den Neuwahlen
- Vorankündigung: 17. Security Forum der Technischen Hochschule Brandenburg
- Datennutzung vs. Datenschutz: EAID lädt zur Diskussionsveranstaltung nach Berlin ein
Aktuelles, Branche, Studien - Jan. 13, 2025 20:13 - noch keine Kommentare
Cyber-Kriminellen bevorzugen Login statt Einbruch
weitere Beiträge in Branche
- Aufbewahrungsfristen genau beachten: Welche Unterlagen 2025 DSGVO-konform entsorgt werden dürfen
- E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz
- Unsichtbare Augen und Ohren daheim: IoT und Datensicherheit austarieren
- it’s.BB e.V. lädt zum Jahresauftakt ein: Web-Seminar am 15. Januar 2025
- Check Point kommentiert Hacker-Angriff auf US-Finanzministerium
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren