Erneute Bedrohung durch Emotet

Anfang des Jahres war es den Sicherheitsbehörden mehrerer Länder, darunter Deutschland, gelungen, die Bedrohung durch den gefährlichen Trojaner Emotet weitgehend auszuschalten.
Wesentliche Teile der Infrastruktur und Server des Emotet-Netzwerks konnten beschlagnahmt und abgeschaltet werden.

Doch lange währte der Frieden nicht: Aktuell mehren sich akute Anzeichen dafür, dass Emotet wieder da ist und erneut groß angelegte Phishing-Wellen zu erwarten sind. Sicherheitsexperten beobachten, dass Systeme, die mit dem Trojaner Trickbot infiziert sind, eine neue Variante von Emotet nachladen. Auch das Bundesamt für Sicherheit in der Informationstechnik, BSI, warnt davor.

Emotet ist bekannt für das so genannte Dynamit Phishing und sehr gut gemachte Phishing Mails, die noch dazu von bekannten Absendern kommen, z.B. von Kollegen oder Vorgesetzten aus dem eigenen Unternehmen. Die wenigsten Empfänger schöpfen Verdacht beim Öffnen von Anhängen oder dem Anklicken von Links, wenn die Mail vom Chef kommt und sich z.B. auf ein aktuelles Projekt und zurückliegende Mail-Kommunikation dazu bezieht.

Das Gefährliche an Emotet ist, dass er, einmal in ein Unternehmen eingeschleust, weitere Schadsoftware nachlädt. Darauf basiert inzwischen auch das Geschäftsmodell der Emotet-Entwickler: Sie vermieten Zugänge zu mit Emotet infizierten Systemen an andere Kriminelle. Die verfügen damit über Einfallstore, durch die sie ihre eigenen Schadprogramme, z.B. Erpressungstrojaner (Ransomware), weiterverbreiten können. Quasi Malware as a Service.

Was kann man tun außer immer und immer wieder wachsam zu sein?
Systemadministratoren wird dringend empfohlen die Aktivierung von nicht-signierten Makros zu unterbinden. Denn schon früher setzte Emotet auf die Aktivierung von Inhalten in Dokumenten, so dass sich der Schadcode z.B. durch die Aktivierung von Makros in Word- oder Excel-Dokumenten verbreitet hat.