[datensicherheit.de, 22.01.2021] „Wenn das Wochenende vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit deutlich nach. Das machen sich Kriminelle zunutze“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense.

Tim Berghoff, Security Evangelist bei G DATA CyberDefense, Foto: G DATA

Bereits Mitte der Woche zeichnete sich ab, dass eine Schadsoftware mit dem Namen Dridex wieder verstärkt aktiv ist. Dieser Schädling ist für G DATA kein unbeschriebenes Blatt – bereits 2015 haben wir über diese Malware berichtet. Wie damals versteckt sich das Schadprogramm auch in diesem Fall in einer Office-Datei, getarnt als Versandbestätigung. Heruntergeladen wird die eigentliche Malware über ein eingebettetes Makro, welches sich hinter der „Drucken“-Funktion verbirgt.

Gerade im Moment sollten Nutzer also verstärkt auf der Hut sein, wenn es um solche vermeintlichen Versandbestätigungen geht. G DATA-Kunden sind geschützt – sowohl die Office-Datei als auch das darin eingebettete Makro werden von allen G DATA Security-Lösungen erkannt.

Vorsicht bei unsignierten Makros

Um die Sicherheit noch weiter zu erhöhen, lohnt es sich, Makros vor allem in Firmennetzwerken global zu deaktivieren. Sind dennoch Makros an einigen Stellen unverzichtbar, sollten nur signierte Makros verwendet und zugelassen werden. Die entsprechenden Optionen finden sich in den Active Directory Gruppenrichtlinien.

Zurzeit scheinen Donnerstag und Freitag zu den beliebteren Tagen für den Versand von Schadsoftware zu gehören. Bereits in der vergangenen Woche haben Kriminelle mit Gootkit / Kronos diesen Zeitpunkt für ihre Angriffe gewählt. Bei näherer Betrachtung ergibt das Sinn: Wenn das Wochenende unmittelbar vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit nach.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS

[datensicherheit.de, 17.08.2020] Auch die PSW GROUP meldet, dass Emotet zurück sei – wie „Phoenix aus der Asche“ sei dieser Trojaner nach knapp fünfmonatiger Pause wieder zurückgekehrt. Wieder habe es eine Welle an Spam-Mails und „Emotet“-Aktivitäten gegeben, so deren IT-Sicherheitsexperten. Man müsse davon ausgehen, auch in Zukunft immer wieder von „Emotet“ in neuen Varianten zu hören – dieser Trojaner zeige, dass das Wettrennen zwischen der IT-Sicherheitsbranche und Cyber-Kriminellen Realität sei und bleiben werde.

Foto: PSW GROUP

Patrycja Tulinska: „Deshalb kann ich nur jedem dringend ans Herz legen, sich und seine IT-Infrastruktur zu schützen!“

Emotet seit Mitte Juli 2020 wieder im Netz

„Seit Mitte Juli gehen vom Botnetz ,Emotet‘ nach gut fünfmonatiger Pause Angriffswellen aus. Die Ziele lagen bislang vorwiegend in den USA sowie im Vereinigten Königreich. Die Opfer des Trojaners erhalten eine E-Mail mit Links oder Word-Dokumenten sowie der Bitte, diese zu öffnen. Erlaubt der Rechner des Opfers Makros, so aktiviert dies die in den Dokumenten enthaltenen Makros, deren Ausführung für die Installation von ,Emotet‘ sorgt“, berichtet Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

Täuschung der Opfer: Emotet kann nun Inhalte von Nachrichten auslesen

Um die Opfer zu verführen, Links und Anhänge anzuklicken, müssten die E-Mails entsprechend echt aussehen – und genau hierbei habe „Emotet“ stark „dazugelernt“: Der Trojaner habe nun die Fähigkeit, aus den E-Mail-Programmen infizierter Rechner neben Kontaktinformationen sowie -beziehungen auch Inhalte von Nachrichten auszulesen. In der Folge seien die Angreifer in der Lage, täuschend echt wirkende Antworten auf Nachrichten zu geben, welche die Nutzer tatsächlich versendet hätten. „Den E-Mail-Empfänger zur Aktivierung von Makros zu bewegen ist da nur noch ein kleiner Schritt.“

Vorschnelles Anklicken kann Emotet Tür und Tor öffnen…

In der Vergangenheit habe „Emotet“ Daten verschlüsselt. Bislang sei unklar, welche Schadsoftware durch ihn nun im Rahmen der neuen Welle konkret auf infizierten Rechnern installiert würden. „In den E-Mails angehängten Dokumenten befinden sich offenbar neue URLs. Diese verweisen auf gehackte ,WordPress‘-Sites. Auf solchen Zielseiten werden verschiedene Informationen angezeigt, etwa, dass es nicht möglich sei, das Dokument ordnungsgemäß zu öffnen. Klicken Nutzer auf derartige Nachrichten, könnte das Tür und Tor für den Trojaner öffnen“, erklärt Tulinska.

Emotet verbündet sich mit anderer Malware

Ist „Emotet“ erst einmal auf einem System, würden Schadprogramme wie „Trickbot“ nachgeladen. Mithilfe dieser können Passwörter, aber auch SSH-Keys oder Cookies gestohlen werden. Hinzu komme die Tatsache, dass sich „Emotet“ im Netzwerk immer weiter verbreitet. Die Sicherheitsforscher von Malwarebytes hätten „Emotet“ vor allem dann Gefährlichkeit attestiert, „wenn er sich mit anderen Schädlingen verbündet, um etwa Ransomware auf die Systeme zu schleusen“.

Emotet wird wohl auch zukünftig ein Wiedergänger in neuen Varianten sein

„Wir müssen davon ausgehen, auch in Zukunft immer wieder von ,Emotet‘ in neuen Varianten zu hören“, warnt Tulinska und betont: „Der Trojaner zeigt, dass das Wettrennen zwischen der IT-Sicherheitsbranche und Cyber-Kriminellen Realität ist und bleiben wird. Deshalb kann ich nur jedem dringend ans Herz legen, sich und seine IT-Infrastruktur zu schützen.“ Zu den wichtigsten Maßnahmen zählten dabei unter anderem

• Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme zügig zu installieren,
• eine im Unternehmen zentral administrierte Anti-Viren Software einzusetzen,
• eine regelmäßige mehrstufige Datensicherung durchzuführen,
• auf ein automatisiertes Monitoring inklusive Alarm bei Anomalien zu setzen und
• ein Berechtigungsmanagement einzuführen, bei dem Angestellte nur Zugang zu Anwendungen oder Konten bekommen, die zu ihrer Aufgabenerfüllung wirklich notwendig sind, und nicht benötige Zugänge oder Software zu deinstallieren.

Eine Verschlüsselung der E-Mail-Kommunikation verhindere zudem das Ausspähen der E-Mail-Inhalte. „Wer durchgängig auf digitale Signaturen setzt, dem gelingt die Validierung bekannter E-Mail-Absender.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 04.08.2020
Emotet: Trojaner kehrt zurück

datensicherheit.de, 10.08.2020
Emotet nach Comeback auf Platz 1 / Check Point veröffentlicht „Global Threat Index“ für Juli 2020 und sieht Emotet, AgentTesla und Dridex auf Spitzenplätzen

datensicherheit.de, 02.08.2020
Emotet: Insbesondere USA und GB im Visier / Offensichtlich ist Emotet nach fünfmonatiger Pause zurück

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

[datensicherheit.de, 28.07.2020] Nach Angaben von IT-Sicherheitsexperten hat sich der der Trojaner Emotet zurückgemeldet – „und mit ihm die Gefahr durch bösartige Dateianhänge“, so REDDOXX und rät in diesem Zusammenhang zu einer „relativ einfachen, aber wirksamen Schutzmaßnahme“: So sollten Dateianhänge mit Makros grundsätzlich blockiert werden, um eine wesentliche Eintrittspforte für „Emotet“ zu schließen.

Foto: REDDOXX GmbH

Christian Schröder: Trojaner Emotet wieder vermehrt über bösartige Dateianhänge verbreitet!

Makros als ausführbare Dateien weisen ähnliches Gefahrenpotenzial wie .exe-Dateien auf und dienen z.B. Emotet als Vehikel

Für einige Zeit sei es relativ ruhig geworden um den Trojaner „Emotet“. Doch derzeit warnten IT-Security-Experten weltweit wieder verstärkt vor einem erneuten Aufflammen dieser häufig über Spam-E-Mails verteilten Schadsoftware. REDDOXX nach eigenen Angaben Spezialist für sicheres E-Mail-Management, rät in diesem Zusammenhang zu einer vergleichsweise einfachen, aber sehr wirksamen Schutzmaßnahme:
So sollten E-Mails mit angehängten Dokumenten mit Makros grundsätzlich blockiert und gar nicht erst angenommen werden. Damit könne eine ganz wesentliche Eintrittspforte für „Emotet“ geschlossen werden, da diese Malware häufig über bösartige, mit Makros versehene „Office“-Dokumente heruntergeladen werde.
„Als ausführbare Dateien weisen Makros ein ähnliches Gefahrenpotenzial wie etwa ,.exe‘-Dateien auf. Während jedoch aus nachvollziehbaren Gründen kaum ein IT-Verantwortlicher auf die Idee käme, E-Mails mit ,.exe‘-Dateien zuzulassen, fliegen Makros leider immer noch viel zu häufig unter dem Radar“, warnt Christian Schröder, „Head of Sales & Marketing“ bei der REDDOXX GmbH.

E-Mails mit Emotet im Anhang tarnen sich z.B. mit tatsächlich existierenden Betreffzeilen und bekannten Absenderadressen

Natürlich gelte auch weiterhin, beim Öffnen von Dateianhängen oder beim Klicken auf Links grundsätzlich Vorsicht walten zu lassen. Doch aufgrund der immer perfideren Vorgehensweise Cyber-Krimineller reiche dies allein oft nicht aus, betont Schröder:
„Die Zeiten, als gefährliche Mails mit etwas Erfahrung leicht erkannt werden konnten, sind leider vorbei. Die Methoden werden immer raffinierter, entsprechende E-Mails tarnen sich durch Verwendung tatsächlich existierender Betreffzeilen und bekannter Absenderadressen oder klinken sich sogar direkt in echte E-Mail-Antwortketten ein.“
REDDOXX empfiehlt demnach Unternehmen und Behörden deshalb dringend, neben Maßnahmen wie einem professionellen Spamfilter „Makros in E-Mails standardmäßig zu blockieren“. Schröder weist zudem darauf hin, dass Makros überhaupt nur relativ selten benötigt würden: „Jeder sollte sich hier auch ganz einfach selbst einmal fragen, wann er zuletzt ein legitimes ,Word‘- oder ,Excel‘-Dokument mit Makros per E-Mail erhalten hat – erforderlich ist dies unserer Erfahrung nach nur in sehr seltenen Ausnahmefällen.“

Weitere Informationen zum Thema:

datensicherheit.de, 23.07.2020
Emotet droht: BKA warnt vor neuer Spamwelle / Wiederauftauchen der „grauen Eminenz der Malware“ – weiterentwickelter Emotet

[datensicherheit.de, 26.03.2015] Carsten Pinnow (CP) für datensicherheit.de im Gespräch mit Noam Green, Produkt Manager bei Check Point Software Technologies zum Thema „Threat Extraction“, einem neuen Ansatz zur Bekämpfung von durch Office-Makros aktiverten Bedrohuingen.

CP: Können Sie die Gefahren, die sich in angehängten MS Office Dateien oder PDF Dokumenten verstecken können, in wenigen Sätzen erklären und wenn möglich einige Beispiele nennen?

Green: MS-Office-Dateien und PDF-Dokumente können zahlreiche Arten von Malware enthalten, wie Bots oder Trojaner. Zwar sind MS-Office-Makros standardmäßig deaktiviert, aber Nutzer können durch Social Engineering dazu gebracht werden, diese zu aktivieren. Der Microsoft Malware Protection Center gab im Januar 2015 bekannt, dass es in diesem Monat zu einem dramatischen Anstieg von Bedrohungen kam, die Makros benutzten, um Malware via Spam und Social Engineering zu verbreiten.

Aktuelle Beispiele von Malware finden Sie unter dem Link https://threatpost.com/microsoft-reports-massive-increase-in-macros-enabled-threats/110204 oder https://threatpost.com/microsoft-reports-massive-increase-in-macros-enabled-threats/110204.

CP: Wie genau funktioniert Threat Extraction und wann genau setzt es ein?

Green: Check Point Threat Extraction bietet einen komplett neuen Ansatz um Malware, die sich in E-Mail- oder Download-Dokumenten befindet, zu bekämpfen. Da theoretisch jedes Dokument Malware enthalten könnte, ist der einzig komplett sichere Weg zu Malware-freien Dokumenten, das Dokument sofort mit bekannten sicheren Elementen zu rekonstruieren. Aktiver Inhalt und eingebettete Objekte werden von dem Dokument extrahiert. So werden alle potentiellen Gefahren eliminiert, das Dokument rekonstruiert und allen Mitarbeitern werden sofort Malware-freie Dokumente geliefert.

Foto: Check Point

Noam Green, Produkt Manager bei Check Point Software Technologies

CP: Wenn Nutzer nicht jedes Dokument prüfen lassen wollen, können sie auch eigene Regeln formulieren und wie zeitaufwendig ist der Threat Extraction Vorgang?

Green: Threat Extraction ist extrem schnell und braucht nur wenige Sekunden (oder sogar lediglich Bruchteile einer Sekunde), um das sichere Dokument zu erstellen. Auch die Auswirkung auf die Performance ist unwesentlich (weniger als 1% Datenverlust bei einem Unternehmen mit 8.000 Nutzern). Check Point empfiehlt jedes Dokument durch die Threat Extraction laufen zu lassen, aber Administratoren können auch selbst festlegen, welche Dokumente rekonstruiert werden sollen.

CP: Was ist der technologische Unterschied zwischen Threat Emulation und Threat Extraction und wie arbeiten sie zusammen?

Green: Der Unterschied ist ziemlich ausgeprägt – während Threat Emulation versucht, zwischen gutartiger und infizierter Datei zu unterscheiden, betrachtet Threat Extraction von vornherein eine Datei mit aktivem Inhalt als mögliche Gefahr und rekonstruiert deshalb diese Dokumente sofort. Threat Extraction überprüft nicht, ob es sich bei dem aktiven Inhalt tatsächlich um Malware handelt, es rekonstruiert die Datei präventiv. Threat Emulation besitzt die sogenannte Sandboxing-Fähigkeit, die gutartige und infizierte Dateien identifiziert, indem sie in einer sicheren Umgebung nachgebildet werden. Zusammenfassend liefert Threat Extraction Null Malware Dokumente in Null Sekunden und Threat Emulation die Sichtbarkeit von Angriffsversuchen sowie die Inspektion und Kontrolle der Originaldokumente.

CP: Wie genau passt das Produkt in Check Points Threat Prevention Strategie?

Green: Um die beste Threat Prevention Lösung zu bieten, haben wir eine neue Lösung kreiert: die sogenannte NGTX – Next Generation Threat Extraction. Das Paket bietet die besten und vollständigsten Threat Prevention Fähigkeiten wie IPS, Application Control, Anti Bot, Anti Virus, URL Filter, Anti Spam, Threat Emulation und Threat Extraction.