Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail

Der aktuell "zerstörerischste" Schädling Emotet besteht eigentlich aus einer Kaskade mehrerer Schadprogramme, die zusammen vielstellige Millionenschäden verursachen.

In Pocket speichern vorlesen Druckansicht 432 Kommentare lesen
Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail

(Bild: DanielFox/Shutterstock.com/heise online)

Lesezeit: 24 Min.
Security
Von
  • Thomas Hungenberg
Inhaltsverzeichnis

Emotet hat in den vergangenen Monaten für viele Schlagzeilen gesorgt. Infektionen mit Emotet und insbesondere darüber nachgeladene weitere Schadprogramme wie Trickbot oder die im Anschluss in den Netzwerken der Opfer ausgerollte Ransomware Ryuk führten bereits weltweit und auch in Deutschland zu enormen finanziellen Schäden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte mehrfach vor Emotet; das US-CERT bezeichntete Emotet als eines der "kostenträchtigsten und zerstörerischsten" Schadprogramme.
Thomas Hungenberg

Thomas Hungenberg studierte Angewandte Informatik und Kommunikationstechnik und verfügt über mehr als 20 Jahre Berufserfahrung im Bereich IT-Sicherheit. Seit 2003 ist er als Incident Handler und Security Analyst im Referat CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) tätig und arbeitet mit Analysten weltweit bei der Analyse von Schad­programmen und Botnetzen zusammen.

In einer Vielzahl von Unternehmen, Krankenhäusern, Einrichtungen der kommunalen Verwaltungen und anderen Organisationen kam es zu großflächigen oder kompletten Ausfällen der IT-Infrastruktur. Dies hatte vieltägige Produktionsausfälle zur Folge, Dienstleistungen konnten über einen längeren Zeitraum nicht erbracht werden und Mitarbeiter mussten in den Zwangsurlaub geschickt werden. Nicht berichtet wird üblicherweise über die Schäden bei tausenden ebenfalls von Emotet betroffenen Privatnutzern durch den Missbrauch ausgespähter Zugangsdaten oder Online-Banking-Betrug.

Infos zu Emotet

Emotet basiert auf einer Weiterentwicklung des Online-Banking-Trojaners Cridex (auch Bugat oder Feodo genannt). Der Name Emotet wurde von dem IT-Sicherheitsdienstleister Trend Micro geprägt, der im Juni 2014 als Erster dazu berichtete. Verbreitet wurde die erste Version von Emotet – auch als Geodo bezeichnet – über Spam-Kampagnen mit gefälschten Rechnungen oder angeblichen Mitteilungen von Banken. Die Spam-Mails enthielten dabei das Schadprogramm entweder direkt im Dateianhang (teilweise in ein ZIP-Archiv verpackt) oder die Spam-Mails enthielten einen Link, über den der Empfänger die angebliche Rechnung bzw. Mitteilung herunterladen sollte. Durch doppelte Dateiendungen wie ".pdf.exe" wurde verschleiert, dass es sich bei dem Anhang beziehungsweise der heruntergeladenen Datei um ein ausführbares Programm handelte.

Geodo führte sogenannte "Man-in-the-Browser"-Angriffe auf das Online-Banking der Opfer durch, indem es sich in den Webbrowser einklinkte und vom Nutzer eingegebene Anmeldedaten ausspähte. Dabei standen Kunden deutscher und österreichischer Banken im Fokus der Angreifer, die deshalb ihre Spam-Mails primär an E-Mail-Adressen mit den Endungen .de und .at versendeten. Zusätzlich spähte Geodo auf den Opfersystemen Zugangsdaten für E-Mail-Konten aus, um über diese anschließend weitere Spam-Mails zur Verbreitung des Schadprogramms zu versenden. Dabei verwendete es – wie auch heutige Emotet-Versionen noch – eine mitgelieferte Kopie des Passwort-Recovery-Tools Mail PassView des Herstellers NirSoft, um in E-Mail-Programmen wie Microsoft Outlook, Windows Mail oder Mozilla Thunderbird gespeicherte Zugangsdaten zu extrahieren.

Die weitere Entwicklung

Die zweite Generation von Emotet – welche von den Tätern ab Herbst 2014 in Umlauf gebracht wurde – hatte einen neuen, modularen Aufbau. Eine Infektion installierte zunächst nur eine Kernkomponente des Schadprogramms, welche dann Module für verschiedene Schadfunktionen nachladen konnte. Dies umfasste Module für Angriffe auf das Online-Banking, das Ausspähen von Zugangsdaten aus E-Mail-Clients und Webbrowsern, das Auslesen von Outlook-Adressbüchern, den Spam-Versand und zur Durchführung von DDoS-Angriffen. Das Banking-Modul nutzte jetzt (wie bereits einige andere Banking-Trojaner-Familien) sogenannte Web-Injects. Diese fügten während des Online-Bankings im Webbrowser des Nutzers unter anderem dynamisch zusätzliche Eingabefelder zur Abfrage von TANs ein, um damit im Hintergrund Überweisungen auszuführen. Außerdem unterdrückten sie Sicherheitswarnungen der Bank.

Mit der dritten Version von Emotet – welche ab Januar 2015 verbreitet wurde – gerieten auch Kunden Schweizer Banken in den Fokus der Täter, die deshalb ihre Spam-Kampagnen auf Schweizer Nutzer ausweiteten. Zusätzlich wurden die Schutzfunktionen des Schadprogramms gegen Detektion und Analyse verbessert.

Die aktuelle Emotet-Generation

Die vierte Emotet-Generation namens Heodo, auf der auch die heutigen Varianten des Schadprogramms noch basieren, wurde erstmals im März 2017 gesichtet. Seitdem sind Nutzer weltweit von Emotets Spam-Kampagnen betroffen. Statt ausführbarer Dateien enthalten die Spam-Mails nun entweder ein Microsoft-Office-Dokument als Dateianhang oder einen Link, der zum Download eines solchen Dokuments führt. In einzelnen Kampagnen werden auch PDFs als Dateianhang versendet, welche den Download-Link zu einem schädlichen Office-Dokument enthalten. Die Infektion der Opfersysteme mit Emotet erfolgt über in den Dokumenten enthaltene Makros, welche das Schadprogramm aus dem Internet nachladen und ausführen.

Das frühere Emotet-eigene Banking-Modul wurde in der vierten Generation entfernt. Stattdessen lädt Emotet im Auftrag anderer Tätergruppen (Affiliates) je nach Kampagne und Standort des Opfers (Geolokalisierung der IP-Adresse) andere Banking-Trojaner wie Trickbot, Ursnif, Panda ZeuS oder IcedID nach. Damit hat sich Emotet von einem eigenständigen Banking-Trojaner zu einem Dropper für andere Schadprogramme gewandelt.

Im September 2017 wurde außerdem ein neues Spreader-Modul zur Verbreitung von Emotet im lokalen Netzwerk der Opfer hinzugefügt. Dieses Modul versucht, das Schadprogramm über administrative Netzwerkfreigaben auf andere Systeme zu kopieren und dort auszuführen. Dabei kommt eine mitgelieferte Kopie von Nirsofts Tool NetPass zum Einsatz, das Passwörter des angemeldeten Benutzers ausliest. Anschließend versucht Emotet, sich mit diesen als Administrator an den Netzwerkfreigaben der anderen Systeme anzumelden. Führt dies nicht zum Erfolg, probiert es bis zu 10.000 mitgelieferte Passwörter durch.

Darüber hinaus wurde das Outlook Harvesting erweitert, um nicht nur das Adressbuch, sondern konkrete Kontaktbeziehungen zwischen Absendern und Empfängern aus den Outlook-Postfächern auf den Opfersystemen auszuspähen. Diese Kontaktbeziehungen verwendeten die Kriminellen anschließend, um den Empfängern der Spam-Mails einen ihnen bekannten Kommunikationspartner im Absender und der Signatur der E-Mail vorzutäuschen. Die teilweise in den Signaturen angegebenen Telefon- und Faxnummern wurden dabei zufällig generiert.

Viele Empfänger haben sich vermutlich zunächst gewundert, warum ihnen die Schwiegertochter oder der Nachbar plötzlich eine Rechnung sendet, aber die Neugier und der vermeintlich bekannte Absender haben sie dann doch zum Öffnen des schädlichen Anhangs veranlasst. Im geschäftlichen Umfeld ist es vielleicht sogar üblich, dass der im vermeintlichen Absender genannte Kollege eine Rechnung weiterleitet.

Im Oktober 2018 wurde das Harvesting-Modul erneut erweitert, um nicht nur Kontaktbeziehungen, sondern die ersten 16 KByte jeder E-Mail der letzten 180 Tage aus den Postfächern abzugreifen. Die so ausgespähten E-Mail-Inhalte nutzten die Täter zunächst, um aus darin befindlichen tatsächlichen Mitteilungen von bekannten Telekommunikationsanbietern, Paket-Dienstleistern, Hotelketten, Banken, Versandhändlern, Software-Herstellern und anderen Unternehmen neue Vorlagen für Spam-Mails zu erstellen, welche in verschiedenen Sprachen auf die Empfänger in unterschiedlichen Ländern zugeschnitten waren.

Emotet: Spam-Mails (6 Bilder)

08/15-Spam mit gefälschter Rechnung

Diese Vorlagen wurden von Ende 2018 bis Anfang 2019 für massive weltweite Spam-Kampagnen eingesetzt. Die Screenshots der Bilderstrecke zeigen typische Beispiele von Spam-Mails, die in dieser Zeit auf deutsche Nutzer einprasselten. Auf diesem Weg kaperten die Täter eine Vielzahl weiterer E-Mail-Konten für den Spam-Versand und sammelten zigtausende weitere E-Mails aus den Outlook-Postfächern neuer Opfer ein.

Das Social Engineering – also die gezielte Täuschung der Opfer, um diese zu bestimmten Aktionen zu verleiten – wurde immer weiter professionalisiert. Seit April 2019 gehen die Täter mit der Personalisierung noch einen Schritt weiter, indem sie die Spam-Mails als vermeintliche Antworten auf zuvor ausgespähte, tatsächliche E-Mails versenden. Die bekannten Betreffzeilen und Zitate einer vorhergehenden Kommunikation lassen die gefälschten E-Mails für die Empfänger noch authentischer erscheinen. In Anlehnung an das zielgerichtetete Spear Phishing hat Heise für dieses ausgefeilte Social Engineering den Begriff Dynamit Phishing geprägt.

Trickbot und Ryuk

In den Nachrichten zu den größeren IT-Ausfällen in Unternehmen und anderen Organisationen ist häufig nur von Emotet die Rede. Doch die eigentlichen Schäden verursacht üblicherweise das von Emotet nachgeladene Schadprogramm Trickbot sowie die in besonderen Fällen später ausgerollte Ransomware Ryuk.

Bei Trickbot handelt es sich wie bei Emotet um ein modulares Schadprogramm. Ursprünglich primär als Online-Banking-Trojaner eingesetzt, wurde es im Lauf der Jahre zu einem universellen Angriffswerkszeug weiterentwickelt. Neben einer Komponente für den Online-Banking-Betrug gehören unter anderem Module zum Ausspähen von Zugangsdaten aus Webbrowsern, E-Mail-Programmen und weiteren Anwendungen zur Werkzeugkiste von Trickbot. Die ergänzen ein VNC-Server, ein SOCKS5-Proxy sowie Funktionen zur automatisierten Weiterverbreitung (Lateral Movement) und Verankerung des Schadprogramms im Netzwerk der Opfer (Persistence). Dabei nutzt Trickbot neben Windows-Bordmitteln auch verschiedene Tools wie das Framework Powershell Empire, PowerSploit und Mimikatz, die früher hauptsächlich bei gezielten Angriffen mit nachrichtendienstlichem Hintergrund gegen Unternehmen und andere Organisationen zum Einsatz kamen.

Die Kernkomponente von Trickbot – der Loader – deaktiviert zunächst die Windows-Dienste und laufende Prozesse von Windows Defender und verschiedener anderer Antivirus-Programme. Er nutzt mehrere (öffentlich bekannte) Methoden zur Privilegienerweiterung wie UAC-Bypass, um administrative Rechte zu erlangen. So kann er alle nachfolgend geladenen Trickbot-Module mit hohen Rechten ausführen und damit zum Beispiel in der Local Security Authority (LSA) gespeicherte Zugangsdaten auslesen. Durch Setzen eines Schlüssels in der Windows-Registry sorgt Trickbot sogar dafür, dass die bei der Benutzeranmeldung eingegebenen Zugangsdaten im Klartext in der LSA gespeichert werden. Dadurch erhalten die Angreifer nicht nur die Hashes, sondern die Klartext-Passwörter aller Benutzer, die sich nachfolgend am System anmelden. Um die Klartext-Zugangsdaten für das aktuelle Benutzerkonto sofort zu erhalten, sperrt Trickbot den Bildschirm, sodass sich der Nutzer erneut anmelden muss.

Anschließend späht Trickbot Informationen über das System (unter anderem zu Hardware, Benutzer­konten und installierten Anwendungen) und das Netzwerk aus (IP-Konfiguration, verfügbare Server, Domänencontroller und so weiter). Alle gesammelten Daten übermittelt die Malware danach an einen Kontroll­server der Täter im Internet. Anhand dieser Informationen können die Täter später bewerten, ob es sich bei einem Opfer um ein "lohnendes" Ziel handelt, welches eine weiter­gehende "manuelle Bearbeitung" verdient.

Zur automatisierten Ausbreitung im Netzwerk versucht Trickbot, sich mit aus der LSA ausgespähten Zugangsdaten für lokale Administratorkonten auf administrative Netzwerkfreigaben (Admin$, C$) anderer Systeme zu verbinden, um diese ebenfalls zu infizieren. Erlangt Trickbot die Anmeldedaten für ein Benutzerkonto mit Domänen­administrator-Rechten und ist im Netzwerk keine strikte Rechte-Trennung im Rahmen eines 3-Tier-Modells implementiert, kann der Schädling das Windows-Netz einschließlich des Domänen-Controllers komplett übernehmen. Das Active Directory muss dann als komplett gefallen betrachtet und im Zuge der Bereinigung vollständig neu aufgebaut werden.

Neben der Ausbreitung über ausgespähte Anmeldedaten versucht Trickbot, mittels des Eternal-Blue-Exploits eine Schwachstelle in der Implementierung des SMB-Protokolls von Windows-Betriebssystemen (MS17-010) auszunutzen. Dieser Exploit wurde unter anderem auch von der Schadsoftware WannyCry verwendet, die sich im Mai 2017 rasant weltweit ausbreitete und ebenfalls für enorme wirtschaftliche Schäden sorgte. Zwar stehen bereits seit März 2017 Sicherheitsupdates zur Verfügung, welche die kritische Schwachstelle schließen – die Erfahrung aus der Analyse von Vorfällen der letzten Monate hat jedoch gezeigt, dass viele Organisationen diese Updates bis heute nicht auf allen Systemen eingespielt haben.

Der bösartige Dreischritt: Infektion mit Emotet, Sekundärinfektion mit Trickbot und dann das manuelle Ausrollen von Ryuk, das wichtige Daten verschlüsselt.

(Bild: Heise)

Zusätzlich zu Passwörtern für RDP- und VNC-Verbindungen späht Trickbot auf infizierten Systemen auch in Anwendungen wie PuTTY, FileZilla oder WinSCP gespeicherte Anmeldedaten für SSH- oder FTP-Zugänge aus. Auf diesem Weg können die Täter auch Zugriff auf weitere Systeme wie zum Beispiel Linux-basierte Datei- oder Backup-Server im Netzwerk erlangen.

Ungeladener Besuch

Erachten die Täter ein Opfer als ausreichend interessant, verbinden sie sich über die von Trickbot bereitgestellte Hintertür auf dessen Systeme und schauen sich manuell im Netzwerk um. Dabei ziehen sie weitere interne Informationen der betroffenen Organisation ab. Dies erfolgt häufig erst zwei bis drei Wochen nach der Erstinfektion, da die Täter aufgrund der Vielzahl weltweiter Opfer ein großes "Angebot" abzuarbeiten haben.

Nach ihrer Kapertour entscheiden die Täter, ob sie sich den Zugang zum Netzwerk unauffällig offen halten, um das Opfer später weiter auszuspionieren. Alternativ verschlüsseln sie wichtige Daten und schreiten zur Erpressung. Das geschieht vor allem dann, wenn die Täter feststellen, dass sie große Teile der Organisation lahmlegen könnten und es sich um ein zahlungskräftiges Opfer handelt, das potenziell bereit ist, ein hohes Lösegeld im sechsstelligen Euro-Bereich für die Entschlüsselung zu bezahlen. Entscheiden sich die Täter für eine Verschlüsselung, rollen sie die Ransomware Ryuk aus.

Dazu legen sie die Verschlüsselungssoftware üblicherweise auf einem Datei-Server im Netzwerk des Opfers ab und aktivieren anschließend eine Gruppenrichtlinie, welche die Software von dort gleichzeitig auf alle Server-Systeme kopiert und ausführt. Auf verschlüsselten Systemen wird eine Erpresserbotschaft angezeigt, welche die Opfer zu einer Kontaktaufnahme per E-Mail mit den Tätern auffordert. Typischerweise kommt es dabei zu Lösegeldforderungen, deren Höhe von Firmengröße und vermutetem Wert der Daten abhängt. Derzeit ist keine Schwachstelle in der Implementierung der Verschlüsselung bei Ryuk bekannt, um verschlüsselte Daten ohne Kenntnis des passenden Schlüssels wieder zu entschlüsseln.

Ein typischer Emotet-Angriff

Das folgende fiktive Beispielszenario soll das in den Spam-Kampagnen zur Verbreitung von Emotet genutzte ausgefeilte Social Engineering sowie den typischen Ablauf einer Emotet-Infektion mit anschließender Ausbreitung von Trickbot und der Verschlüsselung von Daten durch die Ransomware Ryuk veranschaulichen. Das Szenario basiert auf realen Vorfällen, alle hier verwendeten Namen und Adressen von Personen und Organisationen sind jedoch frei erfunden.

Ausgangslage

E-Mail mit Bestellung von Frau Meier

Karin Meier arbeitet bei der Stadtverwaltung Beispieldorf und ist dort unter anderem für den Einkauf von Büromaterial zuständig. Dazu sendet sie seit mehreren Jahren regelmäßig E-Mails mit Bestellungen an ihren Ansprechpartner Rolf Schulz bei der Bürobedarf GmbH.

Angriffsvorbereitung

Vor drei Wochen wurde der Arbeitsplatz-PC von Rolf Schulz mit Emotet infizert, nachdem er ein schädliches Word-Dokument geöffnet und die Ausführung von Makros erlaubt hatte. In der Folge wurden alle E-Mails der letzten 180 Tage aus seinem Outlook-Postfach exfiltriert und an einen Emotet-Kontrollserver im Internet übermittelt. Dies betraf auch E-Mails mit Bestellungen von Frau Meier.

John Smith hat vorletzte Woche auf seinem privaten PC in New York ein schädliches Dokument aus einer Emotet-Spam-Kampagne im Namen eines amerikanischen Paket-Dienstleisters geöffnet, wodurch auch sein System mit Emotet infiziert wurde. Dabei wurden die Zugangsdaten für sein E‑Mail-Konto "smith@someprovider.com" aus der Konfiguration seines E-Mail-Programms aus­gelesen und ebenfalls an einen Emotet-Kontrollserver übermittelt.

Vor einigen Tagen wurde zudem der PC von Ingrid Svensson aus Stockholm mit Emotet infiziert, wobei auch das Spam-Modul nachgeladen und installiert wurde. Das Spam-Modul nimmt seitdem regelmäßig Kontakt zu Emotet-Kontrollservern im Internet auf und bittet um Anweisungen zum Spam-Versand.

Der Angriff

Gefälschte Antwort im Namen von Herrn Schulz

Der Kontrollserver übermittelte dem Spam-Modul die bei John Smith ausgespähten Zugangsdaten für sein E-Mail-Konto sowie eine automatisch generierte vermeintliche Antwort auf eine bei Rolf Schulz ausgespähte Bestellung von Frau Meier mit einem schädlichen Word-Dokument als Dateianhang. Das Spam-Modul auf Ingrid Svenssons PC versendete darauf hin über das E-Mail-Konto von John Smith eine E-Mail an Karin Meier, wobei es den Absendernamen auf Rolf Schulz fälschte.

Frau Meier wunderte sich ein wenig über die etwas ungewöhnliche Formulierung von Rolf Schulz in der E-Mail, aber da sie den Betreff und die zitierte Originalmail wiedererkannte, öffnete sie das Word-Dokument aus dem Dateianhang ohne sich den Absender der E-Mail genauer anzusehen. Bei der daraufhin angezeigten Meldung zu einer fehlenden Aktivierung von Word fragte sie sich kurz, was die Kollegen aus dem IT-Betrieb hier wohl verbockt haben – aber da sie neugierig war, was Herr Schulz ihr geschrieben hatte, stimmte sie der "Aktivierung von Inhalten" zu, wodurch das in dem Dokument enthaltene schädliche Makro ausgeführt wurde.

Word-Dokument mit schädlichem Makro

Dadurch wurde auch der Arbeitsplatz-PC von Frau Meier mit Emotet infiziert und die E‑Mails der letzten 180 Tage aus Ihrem Outlook-Postfach wurden an einen Emotet-Kontrollserver übermittelt, um daraus automatisiert maßgeschneiderte Spam-Vorlagen für Angriffe gegen alle ihre Kommunikationspartner zu erstellen.

Der zweite Hieb

Weiterhin wurde das Schadprogramm Trickbot nachgeladen, welches sich aufgrund unzureichender Sicherheitsmaßnahmen mittels ausgespähter Zugangsdaten für ein Benutzerkonto mit Domänenadministrator-Rechten im Netzwerk der Stadtverwaltung schnell automatisiert ausbreiten und einen Großteil der Systeme infizieren konnte. Die IT-Administratoren versuchten tagelang, das Problem in den Griff zu bekommen – jedoch waren neu aufgesetzte Systeme nach kurzer Zeit immer erneut von Trickbot befallen, da das Active Directory bereits vollständig kompromittiert war.

Der finale Schlag

Heute Morgen dann eine weitere böse Überraschung: Über Nacht haben die Täter die Ransomware Ryuk auf allen Servern der Stadtverwaltung ausgerollt und die darauf gespeicherten Daten verschlüsselt. Auch die Backup-Server sind der Verschlüsselung zum Opfer gefallen. Für die Entschlüsselung der Daten fordern die Täter ein Lösegeld in Höhe von 250 000 Euro in Bitcoin. Glücklicherweise existieren noch Offline-Backups, deren Datenstand jedoch bereits zwei Wochen alt ist.

Konsequenzen

Zunächst steht nun ein kompletter Neuaufbau von Netzwerk und Active Directory an. Nachdem anschließend die Offline-Backups zurückgespielt wurden, müssen die Daten der letzten zwei Wochen – soweit möglich – aus Handakten nachgetragen werden. Das wird für die Mitarbeiter viele Überstunden bedeuten. Bis dahin genießen Frau Meier und ihre Kolleginnen und Kollegen jedoch erst mal den angeordneten zehntägigen Zwangsurlaub. Es wird wohl noch einige Wochen dauern, bis die Stadtverwaltung von Beispieldorf wieder komplett arbeitsfähig ist …

Gezielt vorbeugen

Privatnutzer finden Tipps zum Schutz vor Emotet auf der Website BSI für Bürger. Für Unternehmen, Behörden und andere Organisationen stellt das BSI einen umfangreichen Katalog von Maßnahmen zum Schutz vor derartigen Angriffen bereit. Darüber hinaus bietet heise Security mit dem Webinar Emotet bei Heise - Lernen aus unseren Fehlern eine Analyse des eigenen Emotet-Vorfalls an, welche auch ein strukturiertes Schutzkonzept vorstellt.

Wo es infolge einer Infektionen mit Emotet und darüber installierter weiterer Schadsoftware zu größeren Störungen bis hin zu kompletten Ausfällen der IT‑Infrastruktur kam, waren meist folgende Schwachpunkte im IT-Betrieb ursächlich:

  • Schlechtes Patch-Management (wichtige Sicherheitsupdates wurden nicht ausgerollt),
  • mangelhafte Backup-Konzepte (Backups waren von infizierten Systemen aus modifizierbar, keine Offline-Backups),
  • fehlende Netzwerk-Segmentierung,
  • keine strikte Rechte-Trennung im Active Directory,
  • großzügige Vertrauensstellung zwischen Forests im Active Directory (welche eine standortübergreifende Kompromittierung ermöglichte) sowie
  • lokale Administratorkonten (teils mit identischen Passwörtern für verschiedene Systeme).

Insbesondere die in vielen Netzwerken nicht oder unvollständig implementierte strikte Rechte-Trennung im Active Directory (3‑Tier-Modell) wurde vielen betroffenen Organisationen zum Verhängnis, da dies eine Kompro­mittierung der Domänencontroller durch Trickbot vereinfachte. Der beste Schutz dagegen ist ein klar strukturiertes Verwaltungsebenenmodell, dessen Einrichtung Microsoft ausgiebig dokumentiert.

Präventivmaßnahmen

Aufgrund der immer weitergehenden Professionalisierung von Angriffen ist es keine Frage ob, sondern nur wann Ihre Organisation von einem größeren Sicherheitsvorfall betroffen sein wird! IT-Sicherheitsverantwortliche sollten deshalb insbesondere folgende Präventivmaßnahmen beherzigen:

  • Überprüfen und aktualisieren Sie regelmäßig die Sicherheitskonzepte für alle Systeme und Netzwerke Ihrer Organisation in Zusammenarbeit mit dem IT-Betrieb,
  • lassen Sie regelmäßig Netzwerk-Audits und Penetrationstests durchführen, um potenzielle Schwachstellen in Ihrem Netzwerk aufzudecken,
  • hinterfragen Sie Ihre Backup-Strategie (Offline-Backups!),
  • erstellen Sie Notfallkonzepte,
  • sensibilisieren Sie Ihre Mitarbeiter regelmäßig (insbesondere für den vorsichtigen Umgang mit Dateianhängen und Links in E-Mails – auch von vermeintlich bekannten Absendern – sowie die möglichen Gefahren durch Makros in Office-Dokumenten) und
  • proben Sie den Ernstfall.

Spezielle Informationen

Die mit den Spam-Kampagnen versendeten schädlichen Dokumente sowie die darüber nachgeladenen Schadprogramme werden von den Tätern regelmäßig modifiziert, um eine Erkennung durch Virenschutzprogramme zu erschweren. Tagesaktuelle Indikatoren zur Erkennung von Emotet (IP‑Adressen der Kontrollserver, Nachlade-URLs sowie Hash-Werte der schädlichen Dateien) stellt die Emotet Working-Group Cryptolaemus – ein internationaler Zusammenschluss von Analysten – über ihren Twitter-Kanal zur Verfügung. Der Name der Arbeitsgruppe rührt übrigens daher, dass der IT-Sicherheitsdienstleister Symantec die Tätergruppierung hinter Emotet als Mealybug (deutsch Woll- oder Schmierlaus) bezeichnet, zu dessen biologischer Bekämpfung der Australische Marienkäfer (Cryptolaemus montrouzieri) eingesetzt wird.

Weitere aktuelle und kostenfreie Indikatoren zu Emotet und Trickbot stellt das Schweizer Abuse.ch-Team mit Feodo Tracker und URLhaus bereit. Diese kann man verwenden, um auf Web-Proxies beziehungsweise Firewalls den Zugriff aus dem internen Netzwerk auf bekannte Download-URLs und Kontrollserver zu blockieren oder zumindest Alarmmeldungen zu erzeugen. So kann man erfolgreiche Infektionen frühzeitig erkennen und im Idealfall sogar das Nachladen von Schad­programmen sowie den Abfluss von Informationen verhindern.

Kommt es in Ihrer Organisation zu einem Sicherheitsvorfall, bewahren Sie Ruhe! Treffen Sie keine voreiligen Maßnahmen, welche die Situation noch verschlimmern oder für die Analyse wertvolle Spuren vernichten könnten. Eine überaus wichtige Regel lautet:

Melden Sie sich niemals mit einem Konto mit erhöhten Privilegien (Administratorkonto) an einem infizierten System an, solange dieses noch mit dem Netzwerk verbunden ist.

Denn dies führt dazu, dass die verwendeten Zugangsdaten in den Händen der Kriminellen landen und diese damit schlimmstenfalls sofort das gesamte Windows-Netz übernehmen. Bei einer erkannten Trickbot-Infektion sollte das betroffene Netzwerk umgehend vom Internet isoliert werden, um einen weiteren Zugriff der Täter auf das interne Netz und ein Ausrollen der Ransomware Ryuk zu unterbinden.

Holen Sie sich frühzeitig Unter­stützung durch einen erfahrenen externen Krisenmanager ins Haus, der Sie bei der Bewältigung des Vorfalls begleitet. Stellen Sie Strafanzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) des für Sie zuständigen Landeskriminalamts und melden Sie den Vorfall an das BSI. Beim Abfluss personenbezogener Daten – was bei Emotet-Infektionen bereits durch das Ausspähen von E‑Mails aus Outlook-Postfächern geschieht – ist außerdem eine Meldung an Ihren Landesdatenschutzbeauftragten in der Regel innerhalb von 72 Stunden verpflichtend (Art. 33 DSGVO). Formulieren Sie gemeinsam mit Ihrer Öffentlichkeitsarbeit eine Sprachregelung zum Vorfall und informieren Sie Ihre Mitarbeiter.

Zahlen oder nicht?

Im Fall einer Verschlüsselung von Daten sollten Sie grundsätzlich nicht auf die Erpressung eingehen und Lösegeld bezahlen. Stattdessen sollten die Daten nach einem Neuaufbau des Netzwerks aus Backups zurückgespielt werden. Wurden die Backups ebenfalls verschlüsselt und Sie erwägen den Versuch, durch Zahlung des Lösegelds einen Schlüssel zur Entschlüsselung der Daten zu erhalten, lassen Sie die Lösegeldverhandlung unbedingt von einem erfahrenen Verhandlungsspezialisten durchführen. In vielen Fällen gelang es, die Höhe des Lösegelds in professionellen Verhandlungen deutlich zu reduzieren.

Bedenken Sie jedoch, dass Sie auch bei Zahlung keine Garantie haben, tatsächlich einen passenden Schlüssel zu erhalten – Sie verhandeln schließlich mit Kriminellen. Fordern Sie zu Beginn von den Tätern die beispielhafte Entschlüsselung einiger Dateien, um zu verifizieren, dass diese überhaupt im Besitz des korrekten Schlüssels sind. Beachten Sie weiterhin, dass eine erfolgreiche Entschlüsselung nicht die Neuinstallation der kompromittierten Systeme ersetzt. Wurde die Ransomware Ryuk ausgerollt, ist das Active Directory mit hoher Wahrscheinlichkeit vollständig kompromittiert und muss neu aufgesetzt werden. Um einen weiteren Zugriff der Täter auf das interne Netzwerk und die erneute Ausbreitung der Schadprogramme wirksam auszuschließen, müssen nach der Entschlüsselung zwingend alle Daten gesichert und nach einem Neuaufbau des Netzwerks auf die neu installierten Systeme zurückgespielt werden. (ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten