Trojaner: Heise mit Emotet infiziert

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34738
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Trojaner: Heise mit Emotet infiziert

Beitrag von doelf » 06 Jun 2019, 14:28

Dass man per Phishing heutzutage praktisch jeden mit Schadsoftware infizieren kann, zeigt ein aktueller Vorfall bei der Heise Gruppe und dem Verlag Heinz Heise. Dort hat man sich den Trojaner Emotet (Warnung vom BSI) eingefangen und musste letztendlich die Netze abschalten. Nach aktuellem Kenntnisstand waren Heise Medien mit c't und heise online aber nicht betroffen.

Der Vorfall bei Heise
Der Angriff hatte sich bereits am 13. Mai 2019 ereignet, als ein Mitarbeiter kurz vor 15 Uhr eine E-Mail bekam. Diese bezog sich auf einen bekannten Geschäftsvorgang und der ebenfalls bekannte Geschäftspartner bat darin um die Prüfung eines angehängten Word-Dokuments. Der Mitarbeiter hielt diese Anfrage für glaubwürdig und öffnete das Dokument. Als dann eine gefälschte Fehlermeldung erschien, aktivierte der Mitarbeiter unwissentlich die Makro-Funktion und erlaubte Word somit, fremden Code auszuführen. Dabei handelte es sich um den Trojaner Emotet, der sich sogleich Verstärkung aus dem Internet holte und damit begann, die Netzwerke von Heise zu verseuchen. Die eingesetzten Virenwächter Avira und Windows Defender schlugen zwar Alarm und konnten die betroffenen Systeme oberflächlich säubern, doch zwei Tage später zeigte sich, dass die Plage noch lange nicht besiegt war und die betroffenen Netze mussten vom Internet getrennt werden. Seither laufen die Aufräumarbeiten, welche Heise in Zusammenarbeit mit Sicherheitsspezialisten durchführt.

Aus eigener Erfahrung
Einen ähnlichen Vorfall hatten wir am Morgen des 16. Mai 2019 erlebt: Ein Kunde hatte eine Mail von einem Geschäftspartner geöffnet, das angehängte Word-Dokument angeklickt und eine kryptische Nachfrage bestätigt. Danach wurde er dann doch misstrauisch und schickte uns die verdächtige Datei zur Prüfung. Nach dem Upload bei Virustotal schlugen nur fünf (Endgame, Fortinet, GData, SentinelOne und Zoner) von insgesamt 61 Viren-Scannern Alarm und erkannten einen getarnten Trojaner. Nur einen Tag später war der Schädling dann fast allen Virenwächtern bekannt. Wir forderten unseren Kunden auf, seinen Router vom Netz zu trennen und rückten mit einer Rettungs-DVD von GData an. Mit dieser ließ sich der Schädling entfernen, so dass wir im Anschluss die Windows-Installation prüfen konnten. Unser Kunde hatte nochmal Glück gehabt, doch im Normalfall bleibt eine solche Infektion über Tage oder Wochen unentdeckt. Am Ende hilft dann nur noch Daten retten und alle Systeme neu aufsetzen.

Wie kann man sich schützen?
Da Phishing-Mails immer echter aussehen, muss man als Nutzer sein Verhalten anpassen. Wir haben daher ein paar Tipps zusammengestellt, die solchen Phishing-Angriffen den Zahn ziehen.
  • Zunächst sollten alle Alarmglocken schrillen, sobald eine E-Mail mit Anhang eintrifft. Insbesondere Office-Dateien (Word, Excel, Powerpoint) und PDF-Dokumente werden von den Angreifern gerne genutzt. Kommt die E-Mail unerwartet, empfiehlt es sich, den Absender zu kontaktieren. Und das keinesfalls per E-Mail, schließlich könnte das Postfach des Absenders gehackt worden sein. Stattdessen sollte man zum Telefon oder einem Messenger wie WhatsApp greifen und nachfragen. Ist dem Absender die E-Mail unbekannt, gehört sie unverzüglich gelöscht!
  • Bittet Office beim Öffnen einer Datei um die Erlaubnis, Makros ausführen zu dürfen, sollte man dies generell ablehnen. Makros haben zwar eine Existenzberechtigung, doch zumeist werden sie von Angreifern als bequeme Möglichkeit genutzt, um eigenen Code auszuführen. Funktioniert das Dokument ohne Makros nicht, sollte man beim Ersteller nachfragen. Erwidert dieser "Makro-was?", hat sich der Absender aller Wahrscheinlichkeit nach einen Virus eingefangen, der dessen Dokumente manipuliert. Also den Absender aufklären und das Dokument löschen!
  • Generell sollte man verdächtige Dokumente vor dem Öffnen von Diensten wie Virustotal prüfen lassen. Selbst wenn dort nur ein oder zwei Viren-Scanner Alarm schlagen, gehört die Datei bis auf weiteres unter Quarantäne gestellt. Der positive Nebeneffekt dieser Vorgehensweise besteht darin, dass die Muster neuer Schädlinge schnell an alle Entwickler von Antiviren-Software weitergegeben werden. Einzig vertrauliche Dokumente sind für eine Online-Prüfung tabu!
  • Da die meisten Angriffe auf Windows und Microsoft Office zielen, laufen sie bei alternativen Produkten wie LibreOffice und Linux ins Leere. Dies soll keinesfalls bedeuten, dass LibreOffice und Linux gegen solche Angriffe gefeit sind, doch hier erfolgen die Attacken viel seltener. Zum einen versprechen sich die Kriminellen von den Microsoft-Produkten eine wesentlich größere Zielgruppe, zum anderen erwarten sie leichtere Opfer. Hinzu kommt, dass fast alle Firmen auf Windows nebst Microsoft Office setzen und im Falle einer erfolgreichen Datenverschlüsselung besonders tief in die Tasche greifen können.
  • Empfehlenswert ist auch, ein Testsystem mit Windows und Office in einer virtuellen Maschine zu betreiben. Auf diesem kann man die potentiell gefährlichen Dateien in aller Ruhe untersuchen und den virtuellen Rechner bei Bedarf wieder zurücksetzen. Eine simplerer Variante stellt die neue Windows Sandbox in Windows 10 Version 1903 dar, die für genau solche Zwecke entwickelt wurde. Leider gibt es sie nur für Windows 10 Pro und Enterprise, zudem funktioniert die Sandbox aufgrund eines Fehlers bisher nur auf englischsprachigen Installationen.
Wir hoffen, dass diese Tipps den einen oder anderen Angriff ins Leere laufen lassen. Sollte sich dennoch einmal ein Schädling einschleichen, lautet die erste Regel: Den Router abschalten! Denn ein Trojaner lässt sich noch ganz gut bekämpfen. Wenn die Schädlingsbrigade aber in Mannschaftsstärke antritt, wird guter Rat sehr schnell sehr teuer!

Quelle:
https://www.heise.de/ct/artikel/Emotet- ... 37807.html
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten