Emotet, Phishing und neue Gefahren durch SMS!

25. November 2021

Aktuelle Gefahr durch Phishing in Deutschland und weltweit extrem hoch – was Sie tun können, um sich zu schützen

Auch wenn Gefahren durch Cyberkriminalität uns alle leider schon des Längeren begleiten (der Umsatz mit Cyberkriminalität ist bereits seit Jahren höher als der weltweite Umsatz mit Drogen), verzeichnet die Finanzindustrie in den letzten Wochen eine dramatische Zunahme derartiger Vorfälle.

Dies hat mehrere Gründe:

  1. Hauptursache sind Phishing-Mails, die über unzureichend gepatchte Microsoft Exchange-Server versendet werden. Deren kürzlich bekannt gewordene Schwachstellen werden jetzt von den Angreifern gezielt ausgenutzt, um im Namen der legitimen Besitzer Mails an alle dort gespeicherten Kontakte zu versenden. Spamfilter können solche Mails nicht erkennen, da die Mails technisch ja von bekannten, vertrauenswürdigen Absendern zu stammen scheinen und auch wirklich über die Server dieser Geschäftspartner versendet wurden!
  2. Das zu Beginn 2021 in einer gemeinsamen Aktion von BKA und FBI vermeintlich zerschlagene sog. "Emotet"-Netzwerk ist seit Kurzem wieder aktiv! Emotet gehört zur Gattung der sog. “Verschlüsselungstrojaner” und zählt (ebenso wie seine “Verwandten” SquirrelWaffle, Qbot, IcedID u.a.) zu den gefährlichsten Schadsoftwaren weltweit, da es nicht nur in der Lage ist, praktisch alle Informationen von einem betroffenen Rechner abzuziehen, sondern auch Dateien verschlüsselt ("Ransomware") sowie sich selber über alle vorhandenen Verbindungen des betroffenen Systems (Mail, Netzwerke & Netzwerklaufwerke, USB-Laufwerke usw.) selbständig weiter verbreiten kann.
  3. Die genannten Schadsoftware-Familien werden nicht mehr wie früher als einfache Banking-Trojaner eingesetzt (etwa um Passwörter zu stehlen und Bankbetrug zu begehen), sondern sie wurden zu vollständigen “Suites” von Schadsoftware hochgerüstet, die selbsttätig weitere plattformspezifische Schadsoftware nachladen, ggf. vorhandene Virenscanner zu deaktivieren sowie die gesamte IT-Infrastruktur des Opfers zu unterwandern versuchen, um das betroffene Unternehmen in seiner Existenz zu bedrohen. Das Vorgehen der Kriminellen ist doppelt perfide: Nicht nur werden wichtige – im schlimmsten Fall alle – Geschäftsdaten verschlüsselt, um vom Opfer Lösegeld zu erpressen. Da diese Daten zuvor gestohlen wurden, wird zusätzlich damit gedroht, diese im Falle der fehlenden Bereitschaft, Lösegeld zu bezahlen, zu veröffentlichen, was einen großen Reputationsschaden bedeuten kann.


Infektion beginnt mit einer einfachen Office-Datei, dem sog. “Downloader”

Das Erschreckende: Trotz i.d.R. vorhandener Virenscanner sowie der bei der Mehrheit der Nutzer inzwischen etablierten Praxis regelmäßiger Updates der Betriebssystem-Software ihrer Computer, bleiben die aktuellen Infektionsversuche zunächst nahezu unbemerkt!

Ein hochaktuelles Angriffsszenario sieht dabei wie folgt aus:

Die Opfer erhalten zunächst eine – auf den ersten Blick – unverdächtige Mail die scheinbar von legitimen Geschäftspartnern versendet wurde und die neben einer allgemeinen Ansprache (“Grüße!”) lediglich zwei Links zum Download einer Zip-Datei enthalten (dies ist das aktuelle Szenario, natürlich kann der Aufbau der Mail variiert werden). Es handelt sich dabei praktisch immer um eine Antwort auf einen früheren Mailverkehr mit dem Geschäftspartner.

Nach dem Download der Zip-Dateien (der von Virenscannern i.d.R. nicht unterbunden wird, da darin noch keine Malware erkannt wird), enthält die entpackte Datei ein Office-Dokument (in der Regel eine Excel-Datei, Dateiendung .xls(m), aber auch Word- und PowerPoint-Dateien können infiziert sein).

Beim Öffnen des Excels wird dann ein Dialog angezeigt, mit dem das Opfer dazu animiert werden soll, die enthaltenen Makros zu aktivieren. Eine aktuell besonders gefährliche Kampagne verwendet dafür das sog. “SquirrelWaffle”-Template (siehe folgender Screenshot, VirusTotal identifiziert es als TrojanDownloader: O97M/EncDoc.ASD).

Wenn jemand Ihnen ein Excel zusendet, das etwa wie folgt aussieht (ggf. in deutscher Sprache), handelt es sich um eine äußerst aggressive Schadsoftware! Die enthaltenen Makros dürfen auf keinen Fall aktiviert werden!

Bild 1: “SquirrelWaffle”-Template Kopf


Bild 2: “SquirrelWaffle”-Template Inhalt

Der Täuschungsversuch besteht hier darin, dass “Microsoft Office” den User eben nicht durch Aktivieren der enthaltenen Makros schützt, sondern gerade dadurch, dass die Makros beim Öffnen der Datei nicht aktiv sind. Erst mit dem Klick auf “Enable Editing” bzw. “Enable Content” beginnt dann die Infektion!

Wenn der Verdacht besteht, dass es zu einer Infektion gekommen ist, greifen Sie zu folgenden Ad-hoc-Maßnahmen:

  1. Trennen Sie sofort alle vorhandenen Netzwerkverbindungen (Kabel oder WLAN)
  2. Im besten Fall erkennt ein auf dem Gerät vorhandener, verhaltensbasierter Virenscanner das Wirken einer Schadsoftware und versucht diese einzudämmen (einfache, signaturbasierte Virenscanner erkennen diese Schadsoftware ggf. nicht). Notfalls schalten Sie das Gerät aus!
  3. Informieren Sie sofort die für den IT-Support ihres Unternehmens zuständigen Mitarbeiter (alternativ: Ihren beauftragten IT-Dienstleister) sowie Ihre Mitarbeiter und Partner. Dies kann natürlich nicht mehr unter Verwendung des kompromittierten Gerätes, sondern muss auf anderem Wege, bspw. telefonisch geschehen!
  4. Wechseln Sie vorsorglich die Zugangs-Passwörter für alle – privat wie geschäftlich – auf dem betroffenen Gerät genutzten Anwendungen und Konten. Auch die Einrichtung einer Zweifaktor-Authentifizierung bietet Schutz vor Missbrauch!
  5. In der Folge sollte das betroffene Gerät forensisch untersucht werden. Sofern angenommen werden muss, dass es bereits zu Datenabfluss gekommen ist, sind ggf. Betroffene und Behörden zu informieren!


Phishing per SMS Smishing

Phishing ist leider nicht auf den Einsatz von E-Mail beschränkt. Moderne Handys sind Kleincomputer mit ähnlichen Schwachstellen wie ihre größeren "Verwandten". Per SMS, WhatsApp oder anderen Messengern versendete Links können ebenfalls zum Download von spezifisch gegen Ihre Handys gerichtete Schadsoftware führen. Nicht jedem ist das bewusst!

Gleichzeitig mit der aktuellen Phishing-Welle wurden jetzt auch neue, schwerwiegende Schwachstellen in den weit verbreiteten Handy-Betriebssystemen bekannt (wobei aktuell das eigentlich als recht robust geltende iOS-Betriebssystem des iPhones ebenfalls schwer "unter Beschuss" geraten ist). Neben dem äußerst sorgfältigen Umgang mit SMS-Nachrichten (vergleichbar zum Umgang mit verdächtiger E-Mail) ist eine elementare Schutzmaßnahme das regelmäßige Update auch Ihrer Handys auf den jeweils neuesten verfügbaren Versionsstand! In der Vergangenheit mag es ausreichend gewesen sein, einige wenige Male im Jahr Updates durchzuführen. Inzwischen lernen die Hersteller, dass selbst monatliche Security-Updates unter Umständen nicht mehr ausreichen, um die Sicherheit des Betriebssystems zu garantieren!

Daher kontrollieren Sie regelmäßig, ob für Ihr Handy aktuelle Schutz-Updates verfügbar sind! Entsprechende Übersichten sind in diesem Beitrag weiter unten verlinkt.

Vorbeugende Maßnahmen:

Cybercrime zu verhindern ist eine extrem vielschichtige Aufgabe, da die Angreifer gleichermaßen technische, organisatorische oder menschliche Schwächen (“curiosity killed the cat”) auszunutzen versuchen. Sich lediglich auf eine einzige Sicherheitsmaßnahme zu konzentrieren (z.B. dem Einsatz eines Virenscanners) reicht leider nicht mehr aus! Ein Vergleich dazu: Um einen Einbruch zu verhindern, genügt es nicht, nur die Haustür abzuschließen – man muss auch an die Fenster und die Terassentür denken! Genauso ist es mit der Informationssicherheit – elementare Schutzmaßnahmen sind daher u.a.

  • Regelmäßiges Einspielen von Sicherheitspatches für Ihrerseits betriebene Anwendungen und Systeme
  • Einschränkung der Berechtigungen der Mitarbeiter auf das jeweils fachlich erforderliche Maß (mit besonderem Augenmerk auf administrative Berechtigungen)
  • Verwendung starker, individuell unterschiedlicher Passwörter, die in Software-”Tresoren” sicher verwahrt werden
  • Nutzung von Zweifaktor-Authentifizierung (z.B. Google 2FA), wo immer dies technisch angeboten wird
  • Natürlich auch der Einsatz von Virenscannern
  • Im Idealfall (sofern organisatorisch darstellbar) Aufbau eines systematischen Informationssicherheits-Risikomanagements in Ihrem Unternehmen, ggf. mit externer Unterstützung
  • Auch der Abschluss einer Cyber-Security Versicherung kann eine risikominimierende Maßnahme darstellen
  • Und am Wichtigsten: Ermutigen Sie Ihre Mitarbeiter, Ihnen mögliche Sicherheitsvorfälle zu melden! Irren ist menschlich und die Komplexität heutiger IT-Landschaften und Prozesse ist so hoch, dass Sicherheitsvorfälle leider niemals ganz ausgeschlossen werden können. Nur wenn Sie zeitnah davon erfahren, können Sie angemessen reagieren und den Schaden minimieren!


Weitere Informationen und Quellen


Ihr Netfonds-Team

Bild: pixabay.de