Dynamit-Phising: eine gefährliche Trojaner-Welle naht

Dynamit-Phising: eine gefährliche Trojaner-Welle naht

Derzeit sorgt eine Cybercrime-Gang im Land dafür, dass ganze Firmen stillstehen. Der entstandene Schaden liegt bereits in der Höhe vonmehrere Millionen Euro und es ist immer noch kein Ende in Sicht. Der Grund, derTrojaner „Emotet“, der mithilfe einer derartig gut gemachten Phising-Mailverschickt wird, das es für die Mitarbeiter schwierig wird, echte Mails desUnternehmens von der Phising-Mail zu unterscheiden. Die Mail mit dem Trojanerim Anhang wirkt, als würde Sie von Bekannten, Geschäftspartnern oder Kollegen stammen.Polizei und CERT-Bund schreiben, dass bereits mehrere Behörden und Firmen vondem Trojaner betroffen sind.

Cyber-Kriminalität höchster Güte, man hat fast das Gefühl als würden die Kriminellen die Techniken und Methoden staatlicher Hackergruppen adaptieren, um deren automatisierten Angriffe zu perfektionieren. Lateral Movement nach einer Infektion und Spear-Phishing war gestern, es ist eine Trojaner-Welle zu erwarten deren Gefährlichkeit nicht zu unterschätzen ist. Warum? Befindet sich an einer scheinbar echten E-Mail eine Rechnung, wird diese jeder öffnen. Wer die Rechnung aber öffnet, wird mit einer sogenannten Schadsoftware infiziert.

Was ist Dynamit-Phishing?

 Während beim Spear-Phising versucht wird, mit einer möglichst gut auf dem Empfänger zugeschnittenen Mail diesen dazu bewegen, den Anhang zu öffnen, sieht das beim Dynamit-Phishing ganz anders aus. Hier sammelt der Trojaner über mehrere Monate Informationen, wie die Kommunikationsstruktur der Firma aussieht. Die letzte Version des Emotet konnte sogar die Inhalte der Mails grabben. Mithilfe der gewonnen Infos ist es für Cyberkriminelle ein Leichtes, eine Mail zu entwickeln, die sich komplett in normalen Kommunikationsmuster der Firma bewegt. Dieser Prozess erfolgt automatisiert und im großen Umfang, warum man hier nicht mehr vom klassischen Spear-Phising sprechen kann, sondern von Dynamit-Phishing.

Die neusten Mails mit dem Emotet-Trojaner enthalten eine ganz normale Word-Datei, in der ein Makro versteckt ist. Einfach so kann das Makro eigentlich nicht starten, da Word immer vorher fragt, ob es abgearbeitet werden darf oder nicht. Leider scheinen aber immer mehr User eben das zu tun. Mit der Durchführung des Markos  wird ein PowerShell-Kommando gestartet und weitere Schadware auf dem Rechner heruntergeladen.

Anders als klassische Schadware tritt der Schaden nicht bei der Erstinfektion auf. Der Trojaner versucht sich so weit wie möglich im Netzwerk auszubreiten, um so viele Zugangsdaten zu erobern wie möglich. Der Emotet installiert sogar einen Exploit, der nach Netzwerkrechner sucht, die noch nicht das Sicherheitspatch von Microsoft installiert haben.

Wie kann man seinen Rechner und sein Firmennetzwerk vom Emotet-Trojaner schützen?

Um sein Firmennetzwerk vor dem raffinierten Gauner Emotet zu schützen, muss man mehreren Ecken ansetzen. Das Wichtigste im ersten Schritt ist, zu verhindern, dass das Marko ausgeführt wird. Das funktioniert in dem man den Mitarbeitern klar macht, dass für das Öffnen einer Worddatei das Ausführen eines Markos gar nicht notwendig ist. Alternativ können alle Microsoft Produkte entfernt und durch Libre-Office ersetzt werden. Mit diesem Textprogramm funktioniert der Trojaner nämlich nicht. Darüber hinaus sind Maßnahmen zu ergreifen, dass Sicherheitsniveau des Firmennetzwerkes zu verbessern bzw. Maßnahmen zu entwickeln, mit denen man die Ausbreitung im Falle einer Infektion weitestgehend zu begrenzen. Dazu gehört, dass Sie regelmäßig alle Sicherheitsupdates installieren.

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Webseite zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie Ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen