Bedrohungsanalyse

    Emotet-as-a-Service: Eine ernstzunehmende neue Cyber-Bedrohung

    Hochentwickelte Cyber-Kriminelle hosten Emotet-Dienste und ermöglichen es weniger kompetenten Angreifern, ihre Malware mit diesem leistungsstarken Tool zu verbreiten.

    by Samuel Greengard
    gettywomantexting.jpg

    Wichtige Punkte

    • Malware-as-a-Service (MaaS) hat sich als hocheffiziente Methode zur Verbreitung bösartiger Nutzdaten erwiesen.
    • Eine Vielzahl von Cyberkriminellen ist in der Lage, über Emotet-as-a-Service immer ausgefeiltere und besser koordinierte Angriffe in allen Branchen zu starten.
    • Emotet-as-a-Service kann viele verschiedene Arten von Malware, einschließlich Ransomware, verbreiten.

    Es ist kein Geheimnis, dass die Cybersicherheit ein ständiges Spiel der Überlegenheit ist. Jedes Mal, wenn eine neue oder bessere Verteidigung entdeckt wird, finden Cyberkriminelle neue Wege, den Schutz zu umgehen. Das neueste Risiko in diesem Wettrüsten ist Emotet-as-a-Service. Dabei handelt es sich um ein abonnementbasiertes MaaS-Framework, das von hochentwickelten Cyberkriminellen gehostet wird; es macht Emotet-Angriffsmethoden für weniger talentierte Cyberkriminelle verfügbar, die ansonsten nicht über die Fähigkeiten und Möglichkeiten verfügen würden, Emotet zu nutzen.

    Das bedeutet, dass eine ganze Reihe von ehemals weniger gefährlichen Cyber-Kriminellen nun in der Lage sind, Ihr Unternehmen mit Malware, Spyware und Ransomware effektiver anzugreifen. Es ist also keine Überraschung: Der Threat Intelligence Report von Mimecast: RSA Conference Edition meldete einen Anstieg der weltweiten Angriffskampagnen um 145 % von Oktober bis Dezember letzten Jahres. In diesem Zeitraum analysierte das Threat Center von Mimecast mehr als 202 Milliarden E-Mails und wies 92 Milliarden zurück.

    Was ist Emotet und wie funktioniert es?

    Emotet, der auch unter den Namen Geodo und Mealybug bekannt ist, wurde erstmals im Jahr 2014 entdeckt. [1] Ursprünglich war er ein Trojaner, der Bankdaten von infizierten Host-Systemen stehlen sollte. Heute ist er eine weit verbreitete und bedeutende Bedrohung für alle Branchen und wird häufig von organisierten Cyberkriminellen eingesetzt.

    Die wirtschaftlichen Folgen eines Emotet-Vorfalls können Unternehmen Millionen kosten. Der Trojaner wird in der Regel per E-Mail verbreitet. Wenn ein Empfänger auf einen Link oder einen Anhang klickt, liefert die Malware ein bösartiges Skript, ein Makro oder einen anderen Code, der einen Wurm freisetzt. Das System lädt dann in der Regel zusätzlichen ausführbaren Code herunter, der für eine bestimmte Aufgabe vorgesehen ist, z. B. die Installation von Ransomware.

    Modularer Aufbau erhöht die Emotet-as-a-Service-Gefahr

    Ein Grund, warum Emotet so gefährlich ist, ist, dass es als "Dropper" für andere Malware dient. Sein modularer Aufbau - und die Tatsache, dass er in mehreren Versionen auftritt - macht es schwieriger, ihn zu identifizieren und zu blockieren. Cyberkriminelle nutzen die Dateikomprimierung und versenden die Malware-Nutzlast in der Regel in den Formaten DOC, DOCX und EXE, die häufig in ZIP-Dateien enthalten sind. Die eigentlichen Dateinamen sind also im Container versteckt, , wie wir in diesem früheren Beitrag erläutert haben. Sie verwenden realistisch anmutende Formulierungen und Anhänge, wie z. B. "Ihre Rechnung" oder "Zahlungsdetails", die manchmal von einem scheinbar seriösen Versender stammen.

    Emotet entgeht der Entdeckung unter anderem deshalb, weil es weiß, wann es in einer virtuellen Maschine (VM) ausgeführt wird. In diesem Fall schlummert er in einer Sandbox, so dass er von Malware-Scannern nicht erkannt wird. Außerdem nutzt er Command-and-Control-Server (C&C), um heimlich Updates zu erhalten. Auf diese Weise können Angreifer aktualisierte Versionen des Malware-Codes zusammen mit anderen Trojanern installieren. Er kann auch ein "virtuelles" Repository für gestohlene Informationen erstellen, darunter Benutzernamen, Kennwörter, Bankkontonummern, Kreditkartendaten und E-Mail-Adressen.

    Cyberkriminelle nutzen in der Regel Spam-E-Mails, um Emotet zu verbreiten. Die Multifunktionssoftware sammelt Kontaktinformationen aus Microsoft Outlook und anderen Programmen und generiert dann E-Mails an Personen im Adressbuch, darunter Familie, Freunde und Geschäftspartner.[2] Da die E-Mails scheinbar von einer freundlichen Quelle stammen, sind die Leute eher bereit, auf sie zu klicken. Emotet kann auch Passwörter erraten und schwache Passwörter knacken. Einen detaillierten Einblick in die Angriffstechniken bietet die Website des Department of Homeland Security.[3]

    Die Arten von Malware und Ransomware, die Emotet-Dienste liefern können, werden immer teurer. Es ist nicht ungewöhnlich, dass Cyberdiebe Zehntausende von Dollar in Bitcoin oder einer anderen Cyberwährung verlangen, um die erbeuteten und verschlüsselten Daten "freizugeben". Ein mittlerweile bekannter Ransomware-Angriff auf die Stadt Baltimore legte die IT-Systeme monatelang lahm und verursachte geschätzte Wiederherstellungskosten in Höhe von 18 Millionen Dollar. [4]

    Wie Sie Ihr Unternehmen gegen Emotet impfen können

    Es gibt mehrere Schritte, die das Risiko von Ransomware-Angriffen auf der Grundlage von Emotet verringern können:

    • Sperren Sie ungesicherte Geräte in Ihrem Netzwerk. Dazu gehören auch Geräte des Internets der Dinge (IoT), die möglicherweise nicht direkt sichtbar sind. Stellen Sie sicher, dass Sie alle nicht verwalteten Geräte gesichert haben, in der Regel durch eine MDM-Lösung (Mobile Device Management).
    • Blockieren Sie riskante E-Mail-Anhänge. Dazu gehören Anhänge, die nicht von Antiviren-Software gescannt werden können.
    • Lassen Sie sich nicht in falscher Sicherheit wiegen. Selbst wenn sich Emotet nur auf einem ungesicherten Rechner oder in der Sandbox einer VM befindet, birgt es Risiken. Die polymorphe Natur der Malware bedeutet, dass sie Wege zur Ausbreitung und Verbreitung finden kann.
    • Bieten Sie Schulungen zur Sensibilisierung an. Laut einer Studie des Ponemon Institute aus dem Jahr 2017 werden 90 % der Sicherheitsverletzungen durch menschliches Versagen verursacht.[5] Es ist wichtig, die Benutzer darüber zu informieren, wie sie verdächtige E-Mails und Links erkennen und ZIP-, DOC-, DOCX- und ausführbare Dateien öffnen können.
    • Verwenden Sie Threat-Intelligence-Software. Diese Lösungen erkennen und blockieren den Zugriff auf gefälschte und bösartige Links und URLs, Malware und Imitationsangriffe sowie interne Bedrohungen.
    • Verlangen Sie eine starke Authentifizierung. Emotet kann schwache Passwörter erraten. Eine starke Authentifizierung, einschließlich der Verwendung von Multi-Faktor-Authentifizierung, kann die Ausbreitung der Malware über Systeme verlangsamen oder verhindern.
    • Konsequent patchen. In einigen Fällen enthalten Updates für Softwareanwendungen Tools oder Schutzmaßnahmen zum Blockieren von Emotet.

    Wenn Ihr Netzwerk mit Emotet infiziert ist, müssen Sie unbedingt nach der Malware suchen und sie erneut aufspüren. Selbst wenn Sie einen infizierten Computer bereinigen - auch einen, den Sie isoliert haben - kann die Malware wieder auftauchen. Auch wenn die Überprüfung jedes einzelnen Computers mühsam und frustrierend sein kann, ist es unerlässlich, infizierte Geräte zu isolieren und infizierte Endpunkte zu bereinigen.

    Die Quintessenz

    Emotet-as-a-Service hat das Gesicht der Cybersicherheit verändert. Die "Dropper"-Funktion hat eine neue Welle von Malware - einschließlich Ransomware - in enormem Ausmaß eingeführt. Das abonnementbasierte Malware-as-a-Service-Modell von Emotet macht die Möglichkeit einfacher Angriffsmethoden für ein breiteres Publikum von Cyberkriminellen zugänglich, während gleichzeitig ältere, bekannte Malware im Umlauf bleibt. Mit einer gezielten Strategie und den richtigen Tools ist es jedoch möglich, Emotet zu vereiteln und Ihr Unternehmen zu schützen.

     

    [1] "Emotet," Wikipedia

    [2] "Die Entwicklung des berüchtigten Emotet Banking Trojaners," Cyware Social

    [3] "Alert (TA18-201A," CISA, Department of Homeland Security.

    [4] "Ransomware-Angriff in Baltimore kostet die Stadt über 18 Millionen Dollar," Engadget

    [5] 2017 Cost of Data Breach Study," Ponemon Institute

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang