Anzeige

Anzeige

Malware

Die Schadsoftware Emotet entwickelt sich weiter und integriert jetzt auch die Trojaner Trickbot und Ryuk. Warum diese Entwicklung vorherzusehen war und wie Unternehmen reagieren müssen, erläutert Dirk Schrader, CMO beim Sicherheitsexperten Greenbone, in diesem Kommentar.

Fähigkeit, Erreichbarkeit und Schwachstelle bilden die drei Grundelemente, die bei einer erfolgreichen Cyberattacke zusammenspielen. Damit diese Komponenten noch besser harmonieren, geben Cyberkriminelle keine Ruhe: Sie lernen voneinander, integrieren die Tools anderer Hacker und verbessern so ihre Fähigkeiten. In der Folge legt Schadsoftware funktional zu und wirkt noch destruktiver. Wie sich eine Malware verändert und verbessert, führt uns gerade exemplarisch der bekannte Schädling Emotet vor. Solch eine Entwicklung sollte heute niemanden mehr überraschen, denn das zu Erwartende ist eingetreten, worüber das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Wochenbeginn informierte.

Altes Strickmuster und schärfere Werkzeuge

Das BSI twitterte über das massenhafte Versenden von Spam-E-Mails, hinter dem Emotet steckt. Wie bereits Anfang Dezember 2018 warnte die Behörde davor, dass der Schädling häufig den Bankingtrojaner Trickbot nachladen könnte, der dann infizierte Systeme ausspäht. Jetzt holt sich Emotet noch die Ransomware Ryuk dazu, die Daten verschlüsselt, die zuvor Trickbot als relevant für Lösegeldforderungen eingestuft hat. In der ersten Emotet-Hochphase im vorigen Jahr berichtete das BSI von Produktionsausfällen, komplett ausgestiegenen Infrastrukturen und wiederaufzubauenden Unternehmensnetzwerken. Spiegel-Online vermutet, dass seit August 705 Bitcoins Lösegeld, was heute 2,25 Millionen Euro entspricht, auf das Konto des Kryptotrojaners Ryuk gingen.

Am Prinzip von Emotet hat sich derweil nichts geändert. Die Malware verschickt Spam-Mails aus dem eigenen E-Mail-Programm an die Kontakte im Adressbuch. Sie verbreitet sich, wenn beim Öffnen eines Anhangs mit Word Makros ausgeführt werden. Oder die Schadsoftware nutzt Power-Shell-Rechte beziehungsweise die Schwachstelle SMB aus, was bereits WannaCry und Eternal-Blue gelang.

Mit Big Data machen sich Hacker schlau

Cyberkriminelle gehen aber nicht nur die alten Pfade, die sich bei SMB per Update einfach schließen lassen, sondern setzen nun Big Data ein. Sie analysieren Daten aus den großen Hacks wie Yahoo oder LinkedIn, die im Darknet landeten. In einem Hacker-Forum wurde erst diese Tage auf einen über die Cloud-Plattform Mega veröffentlichten Datensatz aufmerksam gemacht, der über 1,16 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern beinhaltet. Davon kommen laut Spiegel online 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter nur ein einziges Mal vor. Die gewonnenen Erkenntnisse lassen sich für eigene Angriffe verwenden. In die Karten spielt ihnen, dass die Vernetzung weiter voranschreitet. Dadurch werden Ziele einfacher erreichbar.

Schlussendlich ist einem Angreifer egal, ob Opfer zu den ursprünglich ausgewählten Zielen zählen oder als Beifang zu betrachten sind. Ins Visier gerät insbesondere die deutsche Industrie, weil sie sich immer stärker vernetzt, um die digitale Transformation zu stemmen. Deswegen ist der Produktionssektor zu wirksamen Maßnahmen verdammt, um nicht Opfer oder Beifang einer Attacke zu werden.

Bleibt die Schwachstelle als letztes Element eines Cyber-Angriffs. Die firmeneigene Angriffsfläche, die sich aus der Summe der Schwachstellen bildet, gilt es zu minimieren. Auf diese Weise erhöhen IT-Administratoren die Widerstandsfähigkeit ihrer Netzwerke, was die vordringliche Aufgabe jedes Unternehmens sein sollte. In der Konsequenz bedeutet das, zumindest ein ausgereiftes Schwachstellen-Management-Tool einzusetzen. Das identifiziert im Fall von Emotet, welche Benutzer-Accounts, Powershell- oder Admin-Rechte besitzen oder das Ausführen von Makros erlauben. Ein solches Werkzeug erkennt zudem aktive Schadsoftware, die Emotet nachgeladen hat. Auch zeigt es Schwachstellen in der SMB-Kommunikation auf.

Geschäftsprozesse sollen Attacken widerstehen

Insgesamt hält uns Emotet vor Augen: Auf das Vorhersehbare, dass ein Schädling aggressiver wird, müssen sich Unternehmen vorbereiten. Gerade weil ihre Geschäftsprozesse auf digitalen und vernetzten Systemen basieren und so ihre Erreichbarkeit steigt. Die beste Vorkehrung gegen Cyberangriffe trifft, wer die Widerstandsfähigkeit gegen diese digitalen Risiken in seine Geschäftsprozesse integriert. Dann laufen Attacken ins Leere oder richten bloß wenig Schaden an, der sonst immense Dimensionen annehmen kann.

www.greenbone.de
 


Weitere Artikel

Hacker

Arbeitsteilung bei Ransomware: Die Zusammenarbeit cyberkrimineller Gruppen

Die Bedrohungslage in Sachen Ransomware hat sich in den letzten Wochen und Monaten weltweit verschärft. Fast täglich werden neue Angriffe bekannt, bei denen Unternehmen Opfer eines Verschlüsselungs-Trojaners werden.
Hacker

Cybercrime: Es geht um Geld und Corona dient als Brandbeschleuniger

Schon seit Jahren ist zu beobachten, dass die Bedrohung durch Cyberkriminelle kontinuierlich zunimmt. Allein im Vorjahr wurden nach Angaben des Bundeskriminalamts (BKA) fast 110.000 Cyberattacken in Deutschland registriert. Das sind mehr als doppelt so viele…
Malware

Microsoft-signierte Malware ermöglicht gezielte Manipulation des Datenverkehrs

Die Security-Experten*innen von G DATA haben ein Netzwerk-Rootkit entdeckt, das Netzwerkanfragen auf einen Server mit einer chinesischen IP-Adresse umleitet. Damit ist es möglich, den Datenverkehr gezielt zu manipulieren.
Cybercrime

Cyberkriminalität: Zwei von Drei Unternehmen in DACH bereits Opfer

Die Cyber-Bedrohungslandschaft im DACH-Raum entwickelt sich rasant weiter. Dabei versuchen Cyberkriminelle zunehmend menschliche Schwächen statt direkte Schwachstellen in IT-Infrastrukturen auszunutzen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.