Autor: Itay Bochner
Zusammenfassung
Der Name Emotet ist in letzter Zeit häufig in den Nachrichten aufgetaucht, nachdem er lange Zeit unter dem Radar geblieben war, insbesondere im Zusammenhang mit weit verbreiteten Ransomware-Angriffen und fortgeschrittenen Phishing-Kampagnen. Es handelt sich um einen fortschrittlichen Trojaner, der häufig über E-Mail-Anhänge und Links verbreitet wird, die, sobald sie angeklickt werden, die Nutzlast auslösen. Emotet fungiert als Dropper für andere Malware.
Was macht Emotet so besonders, dass es zum größten Botnet geworden ist, das von Bedrohungsakteuren genutzt wird?
Um das zu verstehen, fangen wir ganz von vorne an...
Emotet Erklärt
Emotet wurde erstmals 2014 entdeckt, als Kunden deutscher und österreichischer Banken von dem Trojaner betroffen waren. Er wurde als einfacher Trojaner entwickelt, der sensible und private Informationen stehlen kann. Im Laufe seiner Entwicklung erhielt er weitere Funktionen, wie z. B. Spamming und Malware-Lieferdienste (Dropper), die nach der Infektion eines PCs andere Malware installieren. Normalerweise werden die folgenden Programme gedroppt:
- TrickBot - Ein Banking-Trojaner, der versucht, Zugriff auf die Anmeldedaten von Bankkonten zu erhalten.
- Ryuk: Eine Ransomware, die Daten verschlüsselt und dem Benutzer des Computers den Zugriff auf diese Daten oder das gesamte System verwehrt.
Emotet verbreitet sich mit wurmähnlichen Funktionen über Phishing-E-Mail-Anhänge oder Links, die einen Phishing-Anhang laden. Nachdem er geöffnet wurde, verbreitet sich Emotet im gesamten Netzwerk, indem er Admin-Anmeldeinformationen errät und sie dazu verwendet, aus der Ferne über das SMB-Dateifreigabeprotokoll auf freigegebene Laufwerke zu schreiben, was dem Angreifer die Möglichkeit gibt, sich seitlich durch ein Netzwerk zu bewegen.
Nach dem US-CISA :
Emotet ist ein hochentwickelter Trojaner, der hauptsächlich über Phishing-E-Mail-Anhänge und Links verbreitet wird, die, sobald sie angeklickt werden, die Nutzlast starten(Phishing: Spearphishing Attachment[T1566.001], Phishing: Spearphishing Link[T1566.002]). Die Malware versucht dann, sich innerhalb eines Netzwerks zu verbreiten, indem sie Benutzeranmeldeinformationen erzwingt und auf freigegebene Laufwerke schreibt(Brute Force: Password Guessing[T1110.001], Gültige Konten: Lokale Konten[T1078.003], Entfernte Dienste: SMB/Windows Admin Shares[T1021.002]).
Die obigen Ausführungen verdeutlichen, warum Emotet aufgrund seiner speziellen Umgehungstechniken und "wurmähnlichen" Eigenschaften, die es ihm ermöglichen, sich selbstständig seitlich im Netzwerk zu verbreiten, schwer zu verhindern ist.
Ein weiteres wichtiges Merkmal ist, dass Emotet modulare DLLs (Dynamic Link Libraries) verwendet, um seine Fähigkeiten kontinuierlich weiterzuentwickeln und zu aktualisieren.
Jüngste Aktivität
Es gibt zahlreiche Berichte, die auf einen starken Anstieg der Verwendung von Emotet
- Die entdeckten Angriffe mit dem Emotet-Trojaner stiegen zwischen dem zweiten und dem dritten Quartal dieses Jahres um über 1200 %, was einen Anstieg der Ransomware-Kampagnen unterstützt, wie die neuesten Daten von HP Inc. zeigen.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - Seit Juli 2020 hat die CISA vermehrt Aktivitäten im Zusammenhang mit Emotet-Indikatoren festgestellt. In dieser Zeit hat das EINSTEIN Intrusion Detection System der CISA, das Netze des Bundes, der Zivilgesellschaft und der Exekutive schützt, etwa 16.000 Alarme im Zusammenhang mit Emotet-Aktivitäten entdeckt.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - Microsoft, Italien und die Niederlande warnten letzten Monat vor einem Anstieg der Emotet-Spam-Aktivitäten, nur wenige Wochen nachdem Frankreich, Japan und Neuseeland ihre Warnungen über Emotet veröffentlicht hatten.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - In den letzten Wochen haben wir deutlich mehr Emotet Malspam
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/) gesehen.
Einzigartig am Verhalten von Emotet während dieser neuen Welle ist die Veränderung der Emotet-Spam-Kampagnen, die nun auch passwortgeschützte ZIP-Dateien anstelle von Office-Dokumenten nutzen.
Die Idee dahinter ist, dass durch die Verwendung passwortgeschützter Dateien E-Mail-Sicherheitsgateways das Archiv nicht öffnen können, um den Inhalt zu scannen, und somit keine Spuren von Emotet-Malware darin entdecken.
Palo Alto Networks veröffentlichte auch eine neue Technik, die von Emotet verwendet wird, das so genannte Thread Hijacking. Dabei handelt es sich um eine E-Mail-Angriffstechnik, bei der legitime Nachrichten verwendet werden, die von den E-Mail-Clients der infizierten Computer gestohlen wurden. Dieser Malspam täuscht einen legitimen Benutzer vor und gibt sich als Antwort auf die gestohlene E-Mail aus. Der gekaperte Malspam wird an Adressen aus der ursprünglichen Nachricht gesendet.
OPSWAT bietet Präventivlösungen an, die Ihr Unternehmen vor Angriffen durch Emotet schützen können. Mit unseren Lösungen können Unternehmen verhindern, dass Emotet in Netzwerke eindringt.
Email Gateway Security stoppt Phishing-Angriffe
Secure Access hilft bei der Validierung der Einhaltung von Vorschriften
MetaDefender Core mit Deep CDR (Content Disarm and Reconstruction) bietet Schutz beim Hochladen von Dateien.
Wenn Sie weitere Informationen wünschen, nehmen Sie noch heute Kontakt mit uns auf.
