Trojaner Emotet greift Unternehmensnetzwerke an
Aktuell beobachtetet MELANI verschiedene Malspam-Wellen mit infiziertem Word-Dokumenten im Anhang. Dabei handelt es sich um einen bereits länger bekannten Trojaner namens Emotet (auch bekannt als Heodo). Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware (Malware) verwendet. Gemäss aktuellen Informationen, welche der Melde- und Analysestelle Informationssicherung MELANI vorliegen, wird Emotet momentan auch aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren.
Gemäss aktuellen Informationen, welche der Melde- und Analysestelle Informationssicherung MELANI vorliegen, wird Emotet momentan auch aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren. Dabei verschlüsselt «Ryuk» auf dem Computer oder Server abgelegte Dateien und fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld (CHF 200 000 und mehr). Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen. Durch die vorhandene Wurm-Komponente besteht bei einer erfolgreichen Infektion ein hohes Risiko, dass sich der Trojaner im Unternehmensnetzwerk weiterverbreitet und einen erheblichen Schaden anrichtet.
MELANI verweist deshalb erneut auf folgenden Empfehlungen hin:
Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
Sowohl Betriebssysteme als auch alle auf den Computern und Servern installierten Applikationen (z. B. Adobe Reader, Adobe Flash, Oracle Java etc.) müssen konsequent auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
Einhalten des Prinzips der minimalen Rechtevergabe besonders auch bei Netzwerklaufwerken (es sollte kein Benutzer Zugang zu allen Daten haben, wenn er diesen Zugang gar nicht benötigt).
Verwenden von dedizierten Geräten mit keinen oder nur eingeschränktem Internet-Zugang für das Management der Systeme sowie für das Durchführen von Zahlungen
Aufgrund der aktuellen Gefährdung durch Office-Makros empfiehlt MELANI Unternehmen und Betreibern kritischer Infrastrukturen zudem:
Das Ausführen von unsignierten Office-Makros technisch zu unterbinden.
Den Empfang von Office Dokumenten, welche Makros enthalten, auf dem E-Mail Gateway bzw. Spam-Filter technisch zu unterbinden
Um eine Infektion durch Emotet zu verhindern sowie das Nachladen von weiterer Schadsoftware (Malware) zu unterbinden empfiehlt MELANI jene Webseiten, welche aktiv für die Verbreitung von Emotet verwendet werden, am Netzwerkperimeter wie beispielsweise Web-Proxy oder DNS zu sperren.