Ransomware und Co. aussperren

Schutz vor Emotet

5. Juni 2020, 7:00 Uhr | Clemens A. Schulz/wg
Funktionsprinzip eines virtualisierten Browsers.
© Rohde & Schwarz Cybersecurity

Generische Cyberbedrohungen – also solche, die über das Internet in Unternehmensnetzwerke gelangen – sind besonders tückisch. Hat Malware einmal den Weg auf einen Rechner gefunden, können Hacker weitere Schadsoftware beliebig oft nachladen. Der Trojaner Emotet hat auf diese Weise bereits großen Schaden verursacht. Nur mit speziellen IT-Sicherheitslösungen kann man ihn stoppen.

Tagtäglich erpressen Cyberkriminelle Unternehmen mit Ransomware. Krauss-Maffei hat es getroffen, den Aluminiumhersteller Hydro Norsk ebenso, und auch der Maschinenbauer Pilz wurde zum Opfer: Hacker haben die gesamten Unternehmensdaten verschlüsselt und eine Lösegeldforderung an die Erpressungsopfer geschickt. Laut einer Cybersecurity-Studie des TÜV ist jeder fünfte IT-Sicherheitsvorfall ein Ransomware-Angriff – nur die prominentesten Beispiele kommen in die Schlagzeilen.

Immer häufiger steckt hinter solchen Erpressungsangriffen die Schadsoftware Emotet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Emotet in Verbindung mit Ransomware in seinem aktuellen Lagebericht als eine der gefährlichsten Bedrohungen für Unternehmen ein und bezeichnet die Malware sogar als „eine der größten Cyberbedrohungen der Welt“.

Was macht Emotet so gefährlich?

Emotet ist ein Türöffner. Ist der Trojaner einmal installiert, können Hacker ungehindert weitere Schadprogramme nachladen. Deswegen stellen Emotet-Angriffe eine ganz neue Qualität digitaler Verbrechen dar: Einmal eingeschleust, ist das attackierte Unternehmen verschiedensten Angriffsszenarien ausgeliefert. Professionelle Hacker-Gruppen können auf diese Weise langfristige Angriffsszenarien planen und kompromittierte Rechner zu Bot-Netzen zusammenführen. Von solchen Rechnerverbünden schicken Angreifer dann so viele Anfragen an eine Website, bis deren Web-Server zusammenbrechen (Distributred Denial of Service, DDoS), um zum Beispiel Buchungssysteme, Online-Shops und Online-Banken lahmzulegen.

Sehr häufig nutzen Hacker Emotet zur Vorbereitung von Ransomware-Angriffen. Durch Ransomware entstehen Unternehmen hohe Kosten – selbst wenn kein Lösegeld fließt: Das betroffene Unternehmen muss einen Großteil der IT-Systeme herunterfahren, um eine Verbreitung der Schadsoftware zu vermeiden. Die Mitarbeiter müssen automatisierte Arbeitsprozesse wieder manuell ausüben, was die Geschäftsabläufe enorm verlangsamt. Zudem ist die Website der betroffenen Unternehmen häufig tagelang nicht erreichbar. Dem norwegischen Aluminiumhersteller Hydro Norsk ist dadurch ein Schaden von rund 40 Millionen Euro entstanden.

Dank Emotet können Hacker auch Tools nachladen, die einen Fernzugriff auf den Rechner ermöglichen, um Daten auszuspionieren, zu manipulieren oder zu entwenden. Betroffene Unternehmen merken meist erst dann, dass sie Opfer eines solchen Angriffs geworden sind, wenn interne Daten im Internet auftauchen. Dies kann zu einem immensen Imageschaden und Vertrauensverlust bei den Kunden führen. Hinter Emotet-Angriffen stecken professionelle Hacker-Gruppen, die in regelmäßigen Abständen eine regelrechte Phishing-Flut initiieren. Sie schleusen die Malware über E-Mail-Attachments ein: Der Empfänger wird in der E-Mail aufgefordert, bestimmte Einstellungen am PC vorzunehmen – beispielsweise die Makros einer Word-Datei zu aktivieren.

Wer dieser Aufforderung nachkommt, lädt unwissentlich Emotet auf seinen PC. In seltenen Fällen ist die Schadsoftware bereits in das angehängte Dokument verpflanzt. Wird dieses angeklickt oder heruntergeladen, ist das System infiziert. Sobald ein Rechner befallen ist, meldet sich Emotet beim Server des Hackers zurück. Dieser kann dann weitere Malware einschleusen. Parallel dazu liest Emotet Inhalte aus Outlook-Postfächern des befallenen Systems aus (Outlook-Harvesting). Die Täter nutzen daraufhin die gesammelten Informationen zur weiteren Verbreitung der Schadsoftware.

Abwehrmaßnahmen

Aufgrund der hohen Zahl an professionellen Phishing-E-Mails reichen Mitarbeiterschulungen zum Schutz vor Emotet nicht aus. Fehler lassen sich kaum vermeiden. Auch Antivirenlösungen und klassische Firewalls können den Schädling nicht abhalten. Manche Unternehmen führen deshalb restriktive Maßnahmen ein: Sie untersagen den Empfang von E-Mails mit Anhängen, sperren Makros in Office-Dokumenten oder verbieten den Internetzugang am Arbeits-PC. Diese massiven Einschränkungen digitaler Geschäftsprozesse sind keine sinnvollen Schutzmaßnahmen.

Stattdessen brauchen Unternehmen Sicherheitslösungen, die den Angreifer „proaktiv“ aus dem IT-System fernhalten. Um einen PC vor Emotet zu schützen, sollte vor allem der Internetzugang gesichert sein. Am konsequentesten ist das durch eine Trennung von Internet und internem Netzwerk möglich. Praktisch umsetzen lässt sich dies mit einem virtuellen Browser: Neben der hardwarebasierten Komponente existiert hier einen softwarebasierte virtuelle „Surfumgebung“. Die Nutzer arbeiten mit einer vom Betriebssystem getrennten Maschine. Entscheidend ist, dass es sich dabei um eine vollvirtualisierte Surfumgebung handelt. Dies ermöglicht eine konsequente Netzwerktrennung. Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, isoliert diese Technik alle potenziell gefährlichen Aktivitäten in diesem virtuellen Browser. Jeder Browserstart beseitigt die Malware und versetzt den Browser in seinen Ausgangszustand.

Selbst wenn Emotet über einen USB-Stick einen Weg ins Netzwerk findet, ließe sich der Angriff aufhalten: Um den Schädling zu aktivieren und weitere Schadsoftware nachzuladen, wäre der Zugang zum Internet notwendig, der jedoch bei einem virtuellen Browser durch die strikte Netzwerktrennung verwehrt ist. Mit einem virtuellen Browser ist es auch möglich, verdächtige Dokumente vorab in einer sicheren virtualisierten Umgebung per Vorschaufunktion zu öffnen. Vertraut der Nutzer einem Dokument, kann dieses wie gewohnt in der bekannten Office-Umgebung editiert werden. Handelt es sich um einen schädlichen Anhang, kann die Malware nicht auf das Betriebssystem des PCs zugreifen.

Zugang zum Unternehmensnetzwerk gewinnen die Angreifer heute allerdings nicht nur über PCs vor Ort: Mitarbeiter nutzen heute Notebooks, Tablets, Smartphones und IoT-Geräte. Um auch diese Geräte, die mit unternehmenseigenen IT-System verknüpft sind, zu schützen, ist ein VPN-Client erforderlich. Er schützt die Netzwerkkommunikation des Endgeräts über das Internet. Entscheidend für die Sicherheit ist, dass der VPN-Client zu keinem Zeitpunkt den Zugriff des Geräts auf ein ungeschütztes Netzwerk wie beispielsweise einen Hotspot erlaubt. Eine Festplattenvollverschlüsselung sorgt zusätzlich dafür, dass das Gerät lokale Daten sicher speichert.

Ergänzend ist es sinnvoll, sich vor DDoS-Angriffen zu schützen, da die Angreiferseite diese im Umfeld von Emotet-Angriffen verstärkt einsetzt. Der effektivste Schutz ist eine Web Application Firewall (WAF) mit einem Scoring-Modell. Als Schwellenwert legt der Administrator die Anzahl der Anfragen fest, die eine einzelne IP-Adresse innerhalb eines festgelegten Zeitraums übermitteln darf. Geht die Anzahl der Anfragen darüber hinaus, stoppt die Firewall die Zugriffe.

Handeln nach Emotet-Befall

Ein Emotet-Befall bleibt meist unentdeckt, bis es zu Folgeangriffen kommt. Handelt es sich um Ransomware, sollten Unternehmen auf keinen Fall den Lösegeldforderungen nachkommen. Denn jede erfolgreiche Erpressung motiviert den Angreifer weiterzumachen. Zusätzlich finanzieren Lösegelder die Weiterentwicklung von Schadsoftware und fördern deren Verbreitung. Zudem gibt es keine Garantie dafür, dass die Kriminellen die Daten nach der Zahlung wieder freischalten. Das BSI empfiehlt, stattdessen Strafanzeige zu erstatten. Denn polizeiliche Ermittlungen ermöglichen Untersuchungen, die Betroffene selbst meist nicht durchführen können, etwa die Überwachung verdächtiger Server.

Im Angriffsfall ist die Isolation der betroffenen Rechner und Netzwerke wichtig. Dies unterbindet den Kontakt des Angreifers zu den kompromittierten Computersystemen. Zur Sicherheit sollte die IT-Organisation dazu das gesamte Netzwerk vom Internet trennen. Abhängig von der Stärke des Befalls und davon, ob noch weitere Malware Verwendung fand, müssen Unternehmen ihre Computer, Server und teilweise ganze Netzwerke neu aufsetzen. 

Generische Bedrohungen im Aufwind

Der Trend zu generischen Bedrohungen nimmt weiter zu. Der Vorteil für die Kriminellen liegt auf der Hand: Sie müssen zunächst nur eine sehr kleine Einheit einschleusen. Dann können sie mittels unterschiedlicher Module den Funktionsumfang der Malware selektiv verändern, um Angriffsziele fein abgestimmt und präzise zu attackieren. Hier helfen nur proaktive Schutzmaßnahmen weiter.

 

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Rohde & Schwarz Cybersecurity GmbH

Weitere Artikel zu Endpoint-Sicherheit

Weitere Artikel zu Dasient

Weitere Artikel zu Blueliv

Matchmaker+