Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Phishing Mail

Die Schadsoftware Emotet bedroht derzeit deutschlandweit Unternehmensnetzwerke und verursacht Schäden in Millionenhöhe. Dirk Schrader, CMO beim Sicherheitsexperten Greenbone, erklärt, wie sich Unternehmen mit nur wenigen koordinierten Maßnahmen nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen härten können.

In Deutschland sind derzeit nach eigenen Angaben beispielsweise das Maschinenbauunternehmen Krauss Maffei mit Hauptsitz in München sowie das Klinikum Fürstenfeldbruck in Bayern betroffen. Sie haben mit großflächigen Computerausfällen zu kämpfen und können den normalen Betrieb nur mühsam aufrechterhalten. Dabei gibt es durchaus Routinen, die Netzwerke gegen die Auswirkungen solcher Angriffe schützen können.

Die Emotet-Verantwortlichen gehen äußerst perfide vor: Ihre Phishing-E-Mails sind glaubwürdig formuliert und können sogar von einem Kontakt aus dem eigenen Adressbuch kommen, der sich bereits mit der Schadsoftware infiziert hat. Denn das ist das Tückische an der Malware: Im Gegensatz zu herkömmlichen Angriffen versendet Emotet Spam-Mails aus dem eigenen E-Mail-Programm an die Kontakte im Adressbuch. Die Empfänger stufen die Nachricht dann mit großer Wahrscheinlichkeit als vertrauenswürdig ein und infizieren ihr eigenes System. Mitarbeitersensibilisierung allein reicht hier also nicht mehr aus.

Cyber Resilience: Makro-Einstellungen und PowerShell-Berechtigungen überprüfen

Betrachtet man den Aufbau von Emotet genauer, ergeben sich auf technischer Ebene Ansatzpunkte, um sich vor einem Angriff zu schützen. Denn der Ablauf der Infektion nutzt eine Reihe von Elementen, die eine resiliente Infrastruktur mit einer flexiblen und präventiv ausgerichteten Sicherheitsarchitektur nicht aus dem Tritt bringen kann.

So überträgt sich die Infektion nicht sofort, wenn der E-Mail-Empfänger einen Anhang öffnet, sondern erst, wenn er auch die zugehörigen Makros in der angehängten Datei, etwa einem Word-Dokument, ausführt. Das bedeutet: Bei üblichen MS-Office-Einstellungen muss ein Mitarbeiter die Schadsoftware im Anhang manuell aktivieren, um sie auf das Netzwerk zu übertragen. Die meisten Mitarbeiter benötigen Makros für das normale Tagesgeschäft jedoch nicht. Daher empfiehlt es sich, diese standardmäßig vollständig zu deaktivieren, also auch das manuelle Ausführen durch entsprechende Rechtevergabe zu unterbinden. Ein gutes Schwachstellen-Management-Tool kann hier helfen und scannen, welche Benutzer-Accounts das Ausführen von Makros erlauben. Gleiches gilt für PowerShell- beziehungsweise Administratoren-Rechte, denn momentan sind auch diese notwendig, um Emotet überhaupt zu laden.

Nachladen von Emotet-Tools erkennen

Auch wenn Emotet das IT-System bereits infiziert hat, gibt es noch Verteidigungsmaßnahmen. So lädt die Schadsoftware verschiedene Tools nach, um etwa Zugangsdaten auszuspionieren oder Daten zu verschlüsseln. Diese Standard-Tools können so als Indicators of Compromise genutzt werden. Ob nachgeladene Emotet-Tools in der eigenen IT-Infrastruktur aktiv sind, lässt sich ebenfalls mithilfe eines Schwachstellen-Management-Tools, wie dem Greenbone Security Manager, erkennen.

Alter Bekannter spielt noch immer eine Rolle

Emotet verteilt sich vom infizierten System aus auch über die sogenannte SMB-Schwachstelle. Diese ist bereits aus den WannaCry- und Eternal-Blue-Angriffen bekannt und lässt sich über das entsprechende Update schließen. Viele Unternehmen haben nach dem WannaCry-Ausbruch ihre Netze von außen unzugänglich für die SMB-Kommunikation gemacht, aber nicht die interne Kommunikation. Hier ist eine Prüfung auf die entsprechenden Schwachstellen das Mittel der Wahl, um noch offene System zu finden und die Lücke zu schließen.

Fazit: Domino-Effekt unterbrechen

Besonders für kritische Infrastrukturen wie Krankenhäuser können Cyber-Angriffe katastrophale Folgen haben – und nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch eine Gefahr für den Menschen darstellen. Um resilient gegen die aktuelle Schadsoftware Emotet zu werden, müssen Unternehmen nur wenige koordinierte Maßnahmen einsetzen und diese regelmäßig überwachen. Diese Aufgabe kann ein Schwachstellen-Management-Tool automatisiert und kontinuierlich übernehmen. Netzwerke können so nicht nur gegen Emotet, sondern gegen jede Art von Cyber-Angriffen gehärtet werden und auch unter widrigen Bedingungen ihre Funktion aufrechterhalten.

www.greenbone.de
 

GRID LIST
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Warum „Thinking Small“ für „bessere Netzwerksicherheit“ steht

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die…
Social Engineering

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…
Hacker Stadt

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche…
Ransomware

Unternehmen und Behörden haben ein neues altes Problem

Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des…
Cyberversicherung

Cyberversicherungen haben Lücken

Cyberversicherungen stellen eines der wachstumsstärksten Segmente des…
Tb W190 H80 Crop Int 2a9bb0e951b163b628cae908b73607c3

Falcon-Plattform erweitert um Firmware-Angriffserkennung

CrowdStrike gab bekannt, dass die CrowdStrike Falcon-Plattform um eine neue Funktion…