Eigenschaften und Funktion

• Emotet basiert auf Methoden, die von APT-Angriffen bekannt sind, welche für den automatisierten und massenhaften Einsatz adaptiert und automatisiert wurden.
• Die Verbreitung erfolgt vor allem durch sogenanntes „Outlook-Harvesting“.
• Das heißt durch Erzeugen authentisch wirkender Spam-Mails anhand ausgelesener E-Mail-Inhalte und Kontaktdaten bereits betroffener Nutzer.
• Die so erzeugten E-Mails wirken besonders authentisch und persönlich und heben sich so von gewöhnlichen Spam-Mails ab.
• Meist wird Emotet durch infizierte E-Mail-Anhänge im Word-Format auf die Rechner der Opfer gebracht.
• Durch verschiedene Botschaften wird versucht, den Nutzer zum Aktivieren der aktiven Inhalte zu bewegen, damit die Infektion erfolgen kann.
• Emotet ist zudem in der Lage, weitere Schadsoftware nachzuladen, über die dann etwa das Auslesen von Zugangsdaten oder ein Fernzugriff ermöglicht wird.
• Auch kann die nachgeladene Software verschiedene andere Lücken wie die SMB-Schwachstelle EternalBlue nutzen, um sich weiter zu verbreiten.

Gegenmaßnahmen

Vor der Infektion

• Grundvoraussetzung für alle Schutzmaßnahmen ist das Einspielen aktueller Sicherheits-Updates
• Das Vorhandensein aktueller Backups, die physisch vom Netzwerk getrennt sind.
• Als direkte Gegenmaßnahme kann die Ausführung von Makros per Gruppenrichtlinie im Active Directory komplett deaktiviert werden.
• Sollte das nicht möglich sein, so kann zumindest nur die Ausführung signierter Makros per Gruppenrichtlinie zugelassen werden.
• Word-Anhänge können zur Prüfung auch z. B. in LibreOffice geöffnet werden, denn dort funktionieren die Makros nicht.
• Da Passwörter aus Firefox und Outlook bzw. Thunderbird ausgelesen werden, wird die Verwendung eines Passwortmanagers empfohlen.
• Arbeiten mit reduzierten Benutzerrechten (keine Adminrechte) vor allem beim Surfen im Internet und beim Öffnen von E-Mail Anhängen ist sinnvoll,
• um zu verhindern, dass eine Infektion der Systemdateien erfolgt.
• Für administrative Konten werden starke Passwörter empfohlen, da Emotet diese mit Brute-Force-Methoden zu ermitteln versucht.

Nach der Infektion

• Emotet verwendet verschiedene Techniken, um sich vor Antivirensoftware zu verstecken, und ist deshalb schwer von einem infizierten System zu entfernen.
• Die wichtigste Maßnahme nach einer erkannten Infektion ist, dass das befallene System möglichst schnell isoliert wird.
• d. h. vom restlichen Unternehmensnetzwerk und vom Internet getrennt wird, da Emotet versucht, andere Rechner im Netzwerk zu infizieren.
• Auch ist von einer Verwendung eines Kontos mit administrativen Rechten auf einem infizierten System abzusehen, um weiteren Schaden zu begrenzen.
• Da sich der angerichtete Schaden auch auf Systemdateien erstreckt, sollte das System neu installiert werden, um eine restlose Beseitigung zu garantieren.
• Backups können dann zur Wiederherstellung verwendet werden, wenn sie nachweislich nicht infiziert sind.
• d. h. während des Befalls durch Emotet keine physische Verbindung zum Netzwerk hatten oder ständig schreibgeschützt waren.[18]

Quelle

• https://de.wikipedia.org/wiki/Emotet
• https://www.kaspersky.de/resource-center/threats/emotet
• https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html