Full Operational Shutdown: Microsoft hilft bei Emotet im Unternehmen

Das Microsoft Detection and Response Team beschreibt in einer Fallstudie, wie eine einzelne Emotet-Infektion eine ganze Organisation lahmlegt und was hilft.

In Pocket speichern vorlesen Druckansicht 69 Kommentare lesen
Full Operational Shutdown: Microsoft hilft bei Emotet im Unternehmen

(Bild: antb/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Markus Feilner

Der Name ist Programm: "Vollständiger Stillstand des Betriebs", so lässt sich "Full Operational Shutdown" wohl am zutreffendsten übersetzen. Der zweite Report des Microsofts Security-Response-Teams DART beschäftigt sich in einer Fallstudie mit einer von Emotet heimgesuchten Organisation. Er erklärt, welche Maßnahmen die Security-Experten ergreifen mussten und mahnt wieder einmal zu mehr Anstrengungen bei den bekannten Best Practices.

Mehr zum Thema Emotet

Es reichten wenige Tage, bis der polymorphe Emotet-Virus alle wesentlichen IT-Strukturen der Firma "Fabrikam" lahmgelegt und einen Schaden in Millionenhöhe angerichtet hatte. Den fiktiven Name Fabrikam wählte Microsoft für seinen Bericht (PDF-Datei), das Beispiel basiert auf den Problemen in den Systemen der US-Großstadt Allentown im Winter 2018, die in einem DDOS-Angriff, der Übernahme von unter anderem knapp 200 Überwachungskameras und einem Totalverlust der Kontrolle über die IT der Stadt gipfelten.

Microsofts Sicherheitsexperten kamen erst nach einer Woche ins Spiel, als Windows-Domäne und -Netzwerk bereits weitgehend unbenutzbar und selbst ein auch nur grundlegender Überblick über das aktuelle Vorgehen der Angreifer unmöglich waren. Bei der Analyse später konnte als Auslöser des Einbruchs eine einzelne, aber erfolgreiche Phishing-Mail ausgemacht werden.

Das DART-Team, das sowohl lokalen als auch Remote-Support für die betroffenen Anwender leistete, musste den Kontrollverlust über die IT konstatieren. Besserung brachte erst eine komplett neu entworfene IT-Architektur mit Pufferzonen, die das erneute Übergreifen der Malware erfolgreich verhinderte. Erst dann vermochte das DART Antivirensignaturen hochzuladen und den Microsoft System Center Configuration Manager zu reparieren.

Das DART nutzt "Full operational shutdown" dazu, eindringlich auf die Wichtigkeit von E-Mail-Filtern und Zweifaktorauthentifizierung hinzuweisen. Damit hätte sich im vorliegenden Fall viel Schaden abwenden lassen.

Wie schon die Vorgänger-Studie "Und dann waren da auf einmal sechs" sieht Microsoft den Kern des Problems in ungenügend umgesetzten oder nicht eingehaltenen Best Practices in Unternehmen und Organisationen. In der ersten Studie hatte fehlendes Logging und Auditing APT-Angreifer über Monate frei schalten und walten lassen. Erst als das Team wegen eines Security Incidents ins Spiel kam, kam heraus, dass nicht ein Angreifer, sondern sechs voneinander unabhängige Eindringlinge im lokalen Netz ihr Unwesen trieben. (mfe)