Nach wie vor gilt die Schadsoftware Emotet als eine der gefährlichsten Bedrohungen für die Unternehmens-IT weltweit. Wie eine Emotet-Infektion Unternehmensnetzwerke schrittweise erst unterwandert und dann Stück für Stück außer Betrieb setzt, haben die Analysten der G DATA Advanced Analytics nachgezeichnet.
Auch wenn Emotet ein für Schadsoftware nahezu biblisches Alter erreicht hat, versetzt der Trojaner insbesondere Unternehmen und Behörden immer noch in Angst und Schrecken. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt immer noch eindrücklich vor der Malware und rechnet mit Schäden in Millionenhöhe. Erstmals wurde die Malware im Jahr 2014 als Bankingtrojaner entdeckt. Seitdem hat er sich zur Allzweckwaffe für das Cybercrime entwickelt. Das verantwortliche Hacker-Kollektiv hat Emotet immer weiterentwickelt, so dass die aktuelle Version sehr ausgereift ist. Hinzu kommt: Mit Packern maskieren die Kriminellen immer schneller die Malware und bringen neue Versionen in Umlauf. So zählten die Sicherheitsexperten von G DATA im ersten Halbjahr 2019 bereits mehr als 33.000 Versionen von Emotet. Ein deutlicher Anstieg gegenüber dem Vorjahr.
„Emotet nimmt eigentlich nur die Funktion des Türöffners ein, der dann weiteren Schadcode auf dem Rechner installiert“, erläutert Anton Wendel, Security Engineer bei G DATA Advanced Analytics. „Allerdings sehen die initialen Spam-Mails sehr authentisch aus, sodass viele Nutzer diese für echt halten und den infizierten Anhang öffnen.“
Es geschieht mit einem Klick auf einen Mail-Anhang. Auslöser ist meist die Aktivierung von Makros in Office-Dokumenten. Was dann folgt, passiert meist geräuschlos im Hintergrund – und völlig unbemerkt. Emotet liest als Information-Stealer sämtliche Kennwörter, E-Mails und E-Mail-Adressen aus. Er taucht tief hinein in die Kontakthistorie und nutzt etwa Inhalte aus E-Mails für nachfolgende Spam-Mails, um weitere Geräte zu infizieren. Die fingierten Mails beziehen sich also auf echte Geschäftsvorfälle, was die Verbreitung der Malware fördert. Neben diesem Spam-Modul besitzt Emotet ein Wurm-Modul, mit dem er sich selbstständig im Netzwerk verbreitet. So kann er sich etwa in einem Firmennetzwerk auf weiteren Rechnern einnisten, ohne dass weitere Nutzer einen Anhang anklicken und aktivieren müssen. Hierfür unternimmt Emotet einen Brute-Force-Angriff mit bekannten Standard-Passwörtern wie etwa „12345“, „Passwort“ oder ähnliches. Besonders wirkungsvoll ist die Attacke, wenn die Malware dabei ein Admin-Profil mit weitreichenden Zugriffsrechten innerhalb des Firmennetzwerks infiziert.
Emotets Gefährlichkeit hängt auch damit zusammen, dass er zusätzlich Malware nachlädt, wenn ein Rechner infiziert ist. Diese unterscheidet sich von Region zu Region. In Deutschland folgt zurzeit TrickBot, ein deutlich aggressiverer Banking-Trojaner, auf die initiale Emotet-Infektion. Seine Spezialität: Zahlungsinformationen auslesen, sodass die Cybergangster bestens über die Zahlungsfähigkeit des Unternehmens informiert sind. Ein Wissen, dass sie beim finalen Ransomware-Angriff nutzen. Denn neuerdings orientiert sich die Lösungsgeldforderung bei Emotet-Angriffen am Umsatz. Typische Forderungen gehen nach Information des BSI weit über die üblichen Forderungen von mehreren hundert bis tausend Euro hinaus - 30.000 bis 100.000 Euro sind keine Seltenheit mehr.
Mit dem Wissen um die Zahlungsfähigkeit des Unternehmens und der weitreichenden Kontrolle über die IT-Infrastruktur, folgt nun der finale Schritt des Angriffs. Mittels Trickbot erlangen die Angreifer Zugriff auf das Firmennetz und spielen dann händisch die Ransomware aus – zurzeit insbesondere die Verschlüsselungssoftware namens Ryuk. Was dann passiert, ist der GAU für alle Unternehmen: Ryuk verschlüsselt ganz gezielt unternehmenskritische Daten. Bestehende Sicherungskopien im System werden kurzerhand gelöscht.
„Während Emotets und Trickbots schädliches Handeln teilweise über Monate hinweg unentdeckt bleibt, offenbart sich Ryuk recht schnell“, sagt Wendel. „Wenn die Lösegeldforderung aufploppt, ist es zu spät.“
Unternehmen stehen jetzt unter hohem Druck und vor der zentralen Frage: „Lösegeld zahlen oder nicht?“. Denn ohne funktionierende IT sind nur noch die wenigsten Firmen arbeitsfähig. Jede Minute kostet also bares Geld. Schnell ist auch die Existenz bedroht, wenn ein Betrieb über mehrere Tage nicht arbeitsfähig ist. Lösegeld zu zahlen, ist keine Garantie, die eigenen Daten zurückzubekommen. Wer Backups auf externen Speichern außerhalb des Netzwerkes angelegt hat, ist den Verbrechern einen kleinen Schritt voraus. Er kann diese Daten nutzen und damit arbeiten. Der Erpressungsversuch läuft ins Leere.
„Reinigungsversuche bleiben häufig erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben“, warnt Wendel. „Die Zusammenarbeit mit Experten zur Datenrettung ist absolut empfehlenswert.“
Spezialisten wie die Analysten von G DATA Advanced Analytics leisten weit mehr als Daten wiederherzustellen. Denn einmal infizierte Systeme sind grundsätzlich als vollständig kompromittiert zu betrachten. Sie müssen komplett neu aufgesetzt werden, um eine Neu-Infektion auszuschließen. Gleichzeitig prüfen die Experten auch, über welche Schwachstelle die Schadsoftware in das System eindringen konnte und schließen diese. Auch verfügen sie über die notwendige Expertise, um Ransomware zu identifizieren und Systeme wiederherzustellen – ganz ohne Lösegeldzahlung.
Zurzeit ist das Hacker-Kollektiv um Emotet recht ruhig. Die Zahl der täglich neu entdeckten Trojaner-Versionen ist seit Anfang Juni deutlich zurückgegangen. „Auch wenn die bekannten Emotet-Botnets gerade ruhig sind, ist die Gefahr noch nicht gebannt“, warnt Anton Wendel. „Wahrscheinlich nimmt das Kollektiv gerade Wartungsarbeiten am Netz vor oder verbessert den Malware-Kern. Es könnte also durchaus die sprichwörtliche Ruhe vor dem Sturm sein.“