!!Manfred Kloiber: Einstweilen steht in den IT-Abteilungen vieler Kliniken, aber auch in Behörden und Hochschulen Ungemach auf dem Arbeitsplan. Der Emotet-Virus hat mal wieder zugeschlagen und zwar in Berlin, Frankfurt am Main, Bad Homburg, Fürth, Freiburg und Gießen. Was steckt hinter diesen neuerlichen Angriffen mit Schadsoftware, Peter Welchering?
Peter Welchering: Zunächst einmal steckt eine neue Angriffsmethode dahinter. Bisher haben die Emotet-Angreifer ihren Opfern eine Mail mit angehängtem Dokument geschickt. Das Dokument war trojanisiert. Damit die Schadsoftware aber auf den Rechner des Opfers gelangen konnte, musste der Anhang heruntergeladen, geöffnet und freigeschaltet werden.
Peter Welchering: Zunächst einmal steckt eine neue Angriffsmethode dahinter. Bisher haben die Emotet-Angreifer ihren Opfern eine Mail mit angehängtem Dokument geschickt. Das Dokument war trojanisiert. Damit die Schadsoftware aber auf den Rechner des Opfers gelangen konnte, musste der Anhang heruntergeladen, geöffnet und freigeschaltet werden.
Das heißt Emotet arbeitet hier mit Makros, deren Ausführung das Opfer erst gestatten muss. Deshalb haben die Sicherheitsverantwortlichen auch auf Information ihrer Anwender gesetzt. Und das hat tatsächlich im Laufe dieses Jahres dazu geführt, dass Emotet-Infektionen rückläufig waren.
"Die Mails sind gut gemacht"
Kloiber: Wie gehen die Online-Kriminellen jetzt vor?
Welchering: Die haben ihr Angriffsarsenal erweitert und schicken neben Mails mit trojanisierten Anhängen auch Mails mit Links, auf die das Opfer klicken soll. Die Mails sind gut gemacht. Bei einer Mail etwa hatten die Opfer den Eindruck, sie hätten von ihrer IT-Abteilung eine Mail bekommen. Die informiert sie über eine gerade entdeckte Sicherheitslücke und sie werden aufgefordert, auf den Link unten zu klicken, damit die Schwachstelle geschlossen werden kann. Wer das dann macht, hat eine Lade-Software auf dem Rechner, die in schöner Regelmäßigkeit weitere Schadsoftware nachlädt.
Welchering: Die haben ihr Angriffsarsenal erweitert und schicken neben Mails mit trojanisierten Anhängen auch Mails mit Links, auf die das Opfer klicken soll. Die Mails sind gut gemacht. Bei einer Mail etwa hatten die Opfer den Eindruck, sie hätten von ihrer IT-Abteilung eine Mail bekommen. Die informiert sie über eine gerade entdeckte Sicherheitslücke und sie werden aufgefordert, auf den Link unten zu klicken, damit die Schwachstelle geschlossen werden kann. Wer das dann macht, hat eine Lade-Software auf dem Rechner, die in schöner Regelmäßigkeit weitere Schadsoftware nachlädt.
Das Hauptmotiv ist Phishing
Kloiber: Was für Schadsoftware wird nachgeladen?
Welchering: Zum einen Überwachungssoftware. Mit der spionieren die Angreifer das Netzwerk und die darin hängenden Geräte aus, bekommen Informationen über technische Details, aber auch über die Nutzer. Diese Informationen werden für weitere Phishing-Attacken genutzt. Schließlich wird in einigen Fällen noch der Banking-Trojaner Trickbot auf das Opfer-System geladen. Und auch eine Verschlüsselungssoftware wird in vielen Fällen aufgespielt, die die Daten der Festplatten dann verschlüsselt. Dem folgt in der Regel eine Lösegeldforderung.
Welchering: Zum einen Überwachungssoftware. Mit der spionieren die Angreifer das Netzwerk und die darin hängenden Geräte aus, bekommen Informationen über technische Details, aber auch über die Nutzer. Diese Informationen werden für weitere Phishing-Attacken genutzt. Schließlich wird in einigen Fällen noch der Banking-Trojaner Trickbot auf das Opfer-System geladen. Und auch eine Verschlüsselungssoftware wird in vielen Fällen aufgespielt, die die Daten der Festplatten dann verschlüsselt. Dem folgt in der Regel eine Lösegeldforderung.
Emotet-Angreifer haben Kontakt zu westlichen Nachrichtendiensten
Kloiber: Ist denn bekannt, wer hinter den Emotet-Attacken steckt?
Welchering: Unstrittig ist, dass wie es hier mit organisierter Kriminalität zu tun haben. Das Modul der Schadsoftware, mit der das erstinfizierte Netz ausspioniert wird, stammt aus Beständen der National Security Agency. Das ist inzwischen klar. Aber deshalb muss nicht ein staatlicher Geheimdienst dahinterstecken. Denn solche Spionage-Module wandern nach Erfahrungen von Sicherheitsexperten nach zwei bis drei Jahren aus den Beständen der Sicherheitsbehörden in die Organisierte Kriminalität.
Welchering: Unstrittig ist, dass wie es hier mit organisierter Kriminalität zu tun haben. Das Modul der Schadsoftware, mit der das erstinfizierte Netz ausspioniert wird, stammt aus Beständen der National Security Agency. Das ist inzwischen klar. Aber deshalb muss nicht ein staatlicher Geheimdienst dahinterstecken. Denn solche Spionage-Module wandern nach Erfahrungen von Sicherheitsexperten nach zwei bis drei Jahren aus den Beständen der Sicherheitsbehörden in die Organisierte Kriminalität.
Ein anderes Modul, mit dem man Schutzmechanismen zu Advanced Persistent Threads, wie auch Emotet sie fährt, aushebeln kann, stammt vermutlich vom britischen technischen Nachrichtendienst GCHQ. Auch das kann in die Organisierte Kriminalität gewandert sein.
Auf jeden Fall haben die Emotet-Angreifer zu westlichen technischen Nachrichtendiensten Kontakt, konnten von dort an nachrichtendienstliche Software gelangen.
Kloiber: Emotet hat diese Woche wieder in Deutschland zugeschlagen. Informationen von Peter Welchering, vielen Dank.
Kloiber: Emotet hat diese Woche wieder in Deutschland zugeschlagen. Informationen von Peter Welchering, vielen Dank.