Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail

Seite 3: Ein typischer Emotet-Angriff

Inhaltsverzeichnis

Das folgende fiktive Beispielszenario soll das in den Spam-Kampagnen zur Verbreitung von Emotet genutzte ausgefeilte Social Engineering sowie den typischen Ablauf einer Emotet-Infektion mit anschließender Ausbreitung von Trickbot und der Verschlüsselung von Daten durch die Ransomware Ryuk veranschaulichen. Das Szenario basiert auf realen Vorfällen, alle hier verwendeten Namen und Adressen von Personen und Organisationen sind jedoch frei erfunden.

Ausgangslage

E-Mail mit Bestellung von Frau Meier

Karin Meier arbeitet bei der Stadtverwaltung Beispieldorf und ist dort unter anderem für den Einkauf von Büromaterial zuständig. Dazu sendet sie seit mehreren Jahren regelmäßig E-Mails mit Bestellungen an ihren Ansprechpartner Rolf Schulz bei der Bürobedarf GmbH.

Angriffsvorbereitung

Vor drei Wochen wurde der Arbeitsplatz-PC von Rolf Schulz mit Emotet infizert, nachdem er ein schädliches Word-Dokument geöffnet und die Ausführung von Makros erlaubt hatte. In der Folge wurden alle E-Mails der letzten 180 Tage aus seinem Outlook-Postfach exfiltriert und an einen Emotet-Kontrollserver im Internet übermittelt. Dies betraf auch E-Mails mit Bestellungen von Frau Meier.

John Smith hat vorletzte Woche auf seinem privaten PC in New York ein schädliches Dokument aus einer Emotet-Spam-Kampagne im Namen eines amerikanischen Paket-Dienstleisters geöffnet, wodurch auch sein System mit Emotet infiziert wurde. Dabei wurden die Zugangsdaten für sein E‑Mail-Konto "smith@someprovider.com" aus der Konfiguration seines E-Mail-Programms aus­gelesen und ebenfalls an einen Emotet-Kontrollserver übermittelt.

Vor einigen Tagen wurde zudem der PC von Ingrid Svensson aus Stockholm mit Emotet infiziert, wobei auch das Spam-Modul nachgeladen und installiert wurde. Das Spam-Modul nimmt seitdem regelmäßig Kontakt zu Emotet-Kontrollservern im Internet auf und bittet um Anweisungen zum Spam-Versand.

Der Angriff

Gefälschte Antwort im Namen von Herrn Schulz

Der Kontrollserver übermittelte dem Spam-Modul die bei John Smith ausgespähten Zugangsdaten für sein E-Mail-Konto sowie eine automatisch generierte vermeintliche Antwort auf eine bei Rolf Schulz ausgespähte Bestellung von Frau Meier mit einem schädlichen Word-Dokument als Dateianhang. Das Spam-Modul auf Ingrid Svenssons PC versendete darauf hin über das E-Mail-Konto von John Smith eine E-Mail an Karin Meier, wobei es den Absendernamen auf Rolf Schulz fälschte.

Frau Meier wunderte sich ein wenig über die etwas ungewöhnliche Formulierung von Rolf Schulz in der E-Mail, aber da sie den Betreff und die zitierte Originalmail wiedererkannte, öffnete sie das Word-Dokument aus dem Dateianhang ohne sich den Absender der E-Mail genauer anzusehen. Bei der daraufhin angezeigten Meldung zu einer fehlenden Aktivierung von Word fragte sie sich kurz, was die Kollegen aus dem IT-Betrieb hier wohl verbockt haben – aber da sie neugierig war, was Herr Schulz ihr geschrieben hatte, stimmte sie der "Aktivierung von Inhalten" zu, wodurch das in dem Dokument enthaltene schädliche Makro ausgeführt wurde.

Word-Dokument mit schädlichem Makro

Dadurch wurde auch der Arbeitsplatz-PC von Frau Meier mit Emotet infiziert und die E‑Mails der letzten 180 Tage aus Ihrem Outlook-Postfach wurden an einen Emotet-Kontrollserver übermittelt, um daraus automatisiert maßgeschneiderte Spam-Vorlagen für Angriffe gegen alle ihre Kommunikationspartner zu erstellen.

Der zweite Hieb

Weiterhin wurde das Schadprogramm Trickbot nachgeladen, welches sich aufgrund unzureichender Sicherheitsmaßnahmen mittels ausgespähter Zugangsdaten für ein Benutzerkonto mit Domänenadministrator-Rechten im Netzwerk der Stadtverwaltung schnell automatisiert ausbreiten und einen Großteil der Systeme infizieren konnte. Die IT-Administratoren versuchten tagelang, das Problem in den Griff zu bekommen – jedoch waren neu aufgesetzte Systeme nach kurzer Zeit immer erneut von Trickbot befallen, da das Active Directory bereits vollständig kompromittiert war.

Der finale Schlag

Heute Morgen dann eine weitere böse Überraschung: Über Nacht haben die Täter die Ransomware Ryuk auf allen Servern der Stadtverwaltung ausgerollt und die darauf gespeicherten Daten verschlüsselt. Auch die Backup-Server sind der Verschlüsselung zum Opfer gefallen. Für die Entschlüsselung der Daten fordern die Täter ein Lösegeld in Höhe von 250 000 Euro in Bitcoin. Glücklicherweise existieren noch Offline-Backups, deren Datenstand jedoch bereits zwei Wochen alt ist.

Konsequenzen

Zunächst steht nun ein kompletter Neuaufbau von Netzwerk und Active Directory an. Nachdem anschließend die Offline-Backups zurückgespielt wurden, müssen die Daten der letzten zwei Wochen – soweit möglich – aus Handakten nachgetragen werden. Das wird für die Mitarbeiter viele Überstunden bedeuten. Bis dahin genießen Frau Meier und ihre Kolleginnen und Kollegen jedoch erst mal den angeordneten zehntägigen Zwangsurlaub. Es wird wohl noch einige Wochen dauern, bis die Stadtverwaltung von Beispieldorf wieder komplett arbeitsfähig ist …

Gezielt vorbeugen

Privatnutzer finden Tipps zum Schutz vor Emotet auf der Website BSI für Bürger. Für Unternehmen, Behörden und andere Organisationen stellt das BSI einen umfangreichen Katalog von Maßnahmen zum Schutz vor derartigen Angriffen bereit. Darüber hinaus bietet heise Security mit dem Webinar Emotet bei Heise - Lernen aus unseren Fehlern eine Analyse des eigenen Emotet-Vorfalls an, welche auch ein strukturiertes Schutzkonzept vorstellt.

Wo es infolge einer Infektionen mit Emotet und darüber installierter weiterer Schadsoftware zu größeren Störungen bis hin zu kompletten Ausfällen der IT‑Infrastruktur kam, waren meist folgende Schwachpunkte im IT-Betrieb ursächlich:

  • Schlechtes Patch-Management (wichtige Sicherheitsupdates wurden nicht ausgerollt),
  • mangelhafte Backup-Konzepte (Backups waren von infizierten Systemen aus modifizierbar, keine Offline-Backups),
  • fehlende Netzwerk-Segmentierung,
  • keine strikte Rechte-Trennung im Active Directory,
  • großzügige Vertrauensstellung zwischen Forests im Active Directory (welche eine standortübergreifende Kompromittierung ermöglichte) sowie
  • lokale Administratorkonten (teils mit identischen Passwörtern für verschiedene Systeme).

Insbesondere die in vielen Netzwerken nicht oder unvollständig implementierte strikte Rechte-Trennung im Active Directory (3‑Tier-Modell) wurde vielen betroffenen Organisationen zum Verhängnis, da dies eine Kompro­mittierung der Domänencontroller durch Trickbot vereinfachte. Der beste Schutz dagegen ist ein klar strukturiertes Verwaltungsebenenmodell, dessen Einrichtung Microsoft ausgiebig dokumentiert.

Präventivmaßnahmen

Aufgrund der immer weitergehenden Professionalisierung von Angriffen ist es keine Frage ob, sondern nur wann Ihre Organisation von einem größeren Sicherheitsvorfall betroffen sein wird! IT-Sicherheitsverantwortliche sollten deshalb insbesondere folgende Präventivmaßnahmen beherzigen:

  • Überprüfen und aktualisieren Sie regelmäßig die Sicherheitskonzepte für alle Systeme und Netzwerke Ihrer Organisation in Zusammenarbeit mit dem IT-Betrieb,
  • lassen Sie regelmäßig Netzwerk-Audits und Penetrationstests durchführen, um potenzielle Schwachstellen in Ihrem Netzwerk aufzudecken,
  • hinterfragen Sie Ihre Backup-Strategie (Offline-Backups!),
  • erstellen Sie Notfallkonzepte,
  • sensibilisieren Sie Ihre Mitarbeiter regelmäßig (insbesondere für den vorsichtigen Umgang mit Dateianhängen und Links in E-Mails – auch von vermeintlich bekannten Absendern – sowie die möglichen Gefahren durch Makros in Office-Dokumenten) und
  • proben Sie den Ernstfall.

Spezielle Informationen

Die mit den Spam-Kampagnen versendeten schädlichen Dokumente sowie die darüber nachgeladenen Schadprogramme werden von den Tätern regelmäßig modifiziert, um eine Erkennung durch Virenschutzprogramme zu erschweren. Tagesaktuelle Indikatoren zur Erkennung von Emotet (IP‑Adressen der Kontrollserver, Nachlade-URLs sowie Hash-Werte der schädlichen Dateien) stellt die Emotet Working-Group Cryptolaemus – ein internationaler Zusammenschluss von Analysten – über ihren Twitter-Kanal zur Verfügung. Der Name der Arbeitsgruppe rührt übrigens daher, dass der IT-Sicherheitsdienstleister Symantec die Tätergruppierung hinter Emotet als Mealybug (deutsch Woll- oder Schmierlaus) bezeichnet, zu dessen biologischer Bekämpfung der Australische Marienkäfer (Cryptolaemus montrouzieri) eingesetzt wird.

Weitere aktuelle und kostenfreie Indikatoren zu Emotet und Trickbot stellt das Schweizer Abuse.ch-Team mit Feodo Tracker und URLhaus bereit. Diese kann man verwenden, um auf Web-Proxies beziehungsweise Firewalls den Zugriff aus dem internen Netzwerk auf bekannte Download-URLs und Kontrollserver zu blockieren oder zumindest Alarmmeldungen zu erzeugen. So kann man erfolgreiche Infektionen frühzeitig erkennen und im Idealfall sogar das Nachladen von Schad­programmen sowie den Abfluss von Informationen verhindern.

Kommt es in Ihrer Organisation zu einem Sicherheitsvorfall, bewahren Sie Ruhe! Treffen Sie keine voreiligen Maßnahmen, welche die Situation noch verschlimmern oder für die Analyse wertvolle Spuren vernichten könnten. Eine überaus wichtige Regel lautet:

Melden Sie sich niemals mit einem Konto mit erhöhten Privilegien (Administratorkonto) an einem infizierten System an, solange dieses noch mit dem Netzwerk verbunden ist.

Denn dies führt dazu, dass die verwendeten Zugangsdaten in den Händen der Kriminellen landen und diese damit schlimmstenfalls sofort das gesamte Windows-Netz übernehmen. Bei einer erkannten Trickbot-Infektion sollte das betroffene Netzwerk umgehend vom Internet isoliert werden, um einen weiteren Zugriff der Täter auf das interne Netz und ein Ausrollen der Ransomware Ryuk zu unterbinden.

Holen Sie sich frühzeitig Unter­stützung durch einen erfahrenen externen Krisenmanager ins Haus, der Sie bei der Bewältigung des Vorfalls begleitet. Stellen Sie Strafanzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) des für Sie zuständigen Landeskriminalamts und melden Sie den Vorfall an das BSI. Beim Abfluss personenbezogener Daten – was bei Emotet-Infektionen bereits durch das Ausspähen von E‑Mails aus Outlook-Postfächern geschieht – ist außerdem eine Meldung an Ihren Landesdatenschutzbeauftragten in der Regel innerhalb von 72 Stunden verpflichtend (Art. 33 DSGVO). Formulieren Sie gemeinsam mit Ihrer Öffentlichkeitsarbeit eine Sprachregelung zum Vorfall und informieren Sie Ihre Mitarbeiter.

Zahlen oder nicht?

Im Fall einer Verschlüsselung von Daten sollten Sie grundsätzlich nicht auf die Erpressung eingehen und Lösegeld bezahlen. Stattdessen sollten die Daten nach einem Neuaufbau des Netzwerks aus Backups zurückgespielt werden. Wurden die Backups ebenfalls verschlüsselt und Sie erwägen den Versuch, durch Zahlung des Lösegelds einen Schlüssel zur Entschlüsselung der Daten zu erhalten, lassen Sie die Lösegeldverhandlung unbedingt von einem erfahrenen Verhandlungsspezialisten durchführen. In vielen Fällen gelang es, die Höhe des Lösegelds in professionellen Verhandlungen deutlich zu reduzieren.

Bedenken Sie jedoch, dass Sie auch bei Zahlung keine Garantie haben, tatsächlich einen passenden Schlüssel zu erhalten – Sie verhandeln schließlich mit Kriminellen. Fordern Sie zu Beginn von den Tätern die beispielhafte Entschlüsselung einiger Dateien, um zu verifizieren, dass diese überhaupt im Besitz des korrekten Schlüssels sind. Beachten Sie weiterhin, dass eine erfolgreiche Entschlüsselung nicht die Neuinstallation der kompromittierten Systeme ersetzt. Wurde die Ransomware Ryuk ausgerollt, ist das Active Directory mit hoher Wahrscheinlichkeit vollständig kompromittiert und muss neu aufgesetzt werden. Um einen weiteren Zugriff der Täter auf das interne Netzwerk und die erneute Ausbreitung der Schadprogramme wirksam auszuschließen, müssen nach der Entschlüsselung zwingend alle Daten gesichert und nach einem Neuaufbau des Netzwerks auf die neu installierten Systeme zurückgespielt werden. (ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten