NCSC warnt

Update: Schadprogramm Emotet ist auch in der Schweiz wieder aktiv

Uhr
von Nadja Baumgartner und jor, kfi

Nachdem die Malware Emotet in mehreren Ländern wieder aufgetreten ist, wurden nun auch in der Schweiz verdächtige Spam-E-Mails von .ch-Absendern beobachtet. Das NCSC warnt vor infizierten Anhängen.

Die Schadsoftware Emotet ist zurück. (Source: zVg)
Die Schadsoftware Emotet ist zurück. (Source: zVg)

Update vom 30.11.21: Das Schadprogramm Emotet ist nun auch wieder in die Schweiz gelangt. Über vier .ch-Mail-Adressen haben Cyberkriminelle E-Mails mit infizierten Anhängen versendet. Diese enthalten gefährliche Makros. Microsoft-Office-Dokumente sollten also auf den E-Mail-Gateways blockiert werden (.xlsm, .docm), wie das National Cyber Security Centre (NCSC) mitteilt. Allein in den letzten paar Tagen wurden über 155 Fälle der Schadsoftware gemeldet.

Das NCSC gibt Tipps zum Schutz vor Emotet:

  • Auch bei vermeintlich bekannten Absendern misstrauisch sein, insbesondere bei E-Mails mit Dateianhängen und Links

  • Bei einer verdächtigen E-Mail den direkten Kontakt zum Absender suchen, um die Glaubhaftigkeit des Inhaltes zu überprüfen

  • Dokumente mit aktiven Makros auf E-Mail- und Proxy-Programmen blockieren

  • Umgehend alle aktuell bereitstehenden Sicherheits-Updates für Betriebssysteme, Antiviren-Programme, Web-Browser, E-Mail-Clients und Office-Programme installieren

  • VPN-Zugänge mit Zwei-Faktor-Authentisierung schützen und darauf achten, dass alle exponierten Geräte rasch gepatcht werden

  • Regelmässig eine Sicherungskopie (Backup) der Daten auf externe Datenträger erstellen und diese ohne Netzanbindung aufbewahren (offline)

  • Mindestens zwei Generationen Backups aufbewahren

  • Unternehmen sollten kontinuierlich die Zugriffe auf die unternehmenseigenen Netzwerke überwachen

  • Bösartige E-Mails an reports@antiphishing.ch weiterleiten oder verdächtige E-Mails über das Meldeformular an die Anlaufstelle des NCSC melden

Originalmeldung vom 17.11.21:

Emotet ist wieder da. Nach dem Takedown durch Strafverfolgungsbehörden im Januar 2021 ist die Malware in neuen Varianten zurück. Dem IT-Sicherheitsdienstleister Check Point zufolge wird Trickbot als Einstiegspunkt verwendet, um eine neue Version von Emotet in Form einer DLL-Datei auf Systemen zu verbreiten, die bereits mit der ersten Version infiziert waren.

Emotet gilt als eine der gefährlichsten Malware-Familien, da sie vor allem als Einfallstor für Cyberattacken auf Unternehmen aller Grössen benutzt wird. Nach der Übertragung des Schadprogramms folgte in der Vergangenheit oft Erpressung.

"Der international koordinierte Takedown von Emotet hat über viele Monate Wirkung gezeigt und viele Opfer vor Schaden bewahrt", sagt Tilman Frosch, Geschäftsführer der G DATA Advanced Analytics. "Dazu gratulieren wir allen beteiligten Behörden. Unsere aktuellen Analysen zeigen gleichwohl, dass Emotet jetzt zurückgekehrt ist – das zeigt die manuelle Analyse aktueller Schadsoftware-Samples."

Sample zeigt ähnliche Strukturen

Es gibt gemäss G Data mehrere technische Ähnlichkeiten mit der ursprünglichen Malware. Besonders der Quellcode zeige ähnliche Strukturen. Trotzdem gebe es Differenzen: Der Netzwerkverkehr wird zwar weiterhin per HTTPS verschlüsselt, es wird jedoch ein selbst-signiertes Zertifikat genutzt.

"Emotet, das erfolgreichste Botnet in der Geschichte des Internets, feiert ein Comeback, nachdem sein weltweiter Betrieb vor fast 10 Monaten eingestellt wurde", sagt Lotem Finkelstein, Director, Threat Intelligence and Research von Check Point. "Emotet ist für die explosionsartige Zunahme gezielter Ransomware in den letzten drei Jahren verantwortlich, und sein Comeback könnte zu einem weiteren Anstieg solcher Angriffe führen." Es sei keine Überraschung, dass Trickbot und seine Infrastruktur genutzt werden, um das wiederauflebende Emotet einzusetzen. "Dies wird nicht nur die Zeit verkürzen, die Emotet benötigen würde, um in Netzwerken auf der ganzen Welt ausreichend Fuss zu fassen, sondern es ist auch ein Zeichen dafür, dass Trickbot und Emotet wie in alten Zeiten als 'Partners in Crime' vereint sind."

Lotem Finkelstein, Director, Threat Intelligence and Research bei Check Point. (Source: zVg)

Bisher seien noch keine Spam-Aktivitäten hinsichtlich der Malware aufgefallen.

Tricktbot ist übrigens die "beliebteste" Malware weltweit. Hier können Sie mehr darüber lesen.

Webcode
DPF8_238659