Site Search

Loading Results

Ausgabe 116 - Financial Services Aktuell

Bankentrojaner Emotet – Jetzt mit WLAN

Der Bankentrojaner Emotet ist seit einigen Jahren eine wesentliche Cyber-Bedrohung für Behörden und Unternehmen. Was ursprünglich als Software zum Ausspähen von Online-Banking Zugangsdaten und Kreditkarteninformationen konzipiert wurde, findet heute vor allem als Dropper, einer Schadsoftware mit dem Zweck weitere Viren und Trojaner in Folge der initialen Infektion herunterzuladen, Verwendung. Während Unternehmen bis jetzt hauptsächlich durch Phishing E-Mails infiziert wurden, genügt von nun an allein die geographische Nähe zu infizierten Unternehmen. 

In Deutschland wurden durch diese Schadsoftware bereits etliche Städte, Kommunen und Behörden lahmgelegt. Das Berliner Kammergericht arbeitete beispielsweise Monate im Notbetrieb, wie Golem (eine IT-Nachrichtenseite) berichtet.

Auf einen Blick

  • Emotet ist ursprünglich ein Bankentrojaner, welcher aktuell hauptsächlich als Türöffner- und Spionage- Trojaner zum Nachladen zusätzlicher Schadsoftware verwendet wird. Diese können zum Ausspähen von Zugangsdaten, Kontaktdaten, sensiblen Informationen oder zum Verschlüsseln von gesamten IT-Systemen verwendet werden.
  • Angreifer verwenden Emotet zum Hacken von Unternehmen aller Branchen.
  • Emotet gelangt hauptsächlich durch gezielte Phishing Angriffe über E-Mail oder SMS Nachrichten in ein Unternehmensnetzwerk und breitet sich anschließend über Netzlaufwerke aus.
  • Durch die stetige Veränderung und die Verschleierung von Programmcode ist Emotet durch technische Sicherheitsmaßnahmen wie Virenschutz oft nur schwer zu entdecken.
  • Die Kosten für die Behebung von Vorfällen belaufen sich laut US Department of Homeland Security CISA Cyber + Infrastructure bei staatlichen Regierungen auf oftmals bis zu 1 Million Dollar (mehr erfahren).
  • Maliziöse E-Mails können auch von eigenen, vertrauenswürdigen E-Mail-Kontakten kommen, da Emotet E-Mail-Konten von infizierten Geräten ausnutzt, um sich selbst zu verbreiten.
  • Emotet verwendet neben Phishing E-Mails auch unsichere WLAN Netzwerke als Einfallstor und gelangt somit auf direktem Weg in ein Unternehmensnetzwerk.

Millionenschäden durch E-Mails

Phishing Angriffe sind immer schwieriger zu erkennen. Während früher vermeintliche Zahlungsaufforderungen mit vielen Rechtschreib- und Grammatikfehlern versendet wurden, kommen heutzutage täuschend echt aussehende E-Mails von vermeintlich bekannten Absendern. Diese beinhalten die Schadsoftware per Anhang oder verlinken auf eine Webseite, welche bei Aufruf die Infektion des Rechners verursacht. Sobald ein Rechner infiziert wurde, liest die Malware gesendete und empfangene E-Mails und versendet Antworten auf vergangene Konversationen wiederum mit maliziösen URLs oder Anhängen. Die Referenz auf vergangene E-Mail-Konversationen in Verbindung mit der Absenderadresse bekannter Personen, lässt einen die E-Mail nur schwer als Fälschung erkennen. 

Exemplarisches Phishing-E-Mail

Abbildung 1: Exemplarisches Phishing - E-Mail des Leiters Rechnungswesen an den CFO

Des Weiteren bedienen sich Angreifer auch immer wieder aktueller Themen wie beispielsweise COVID-19. In betroffenen Ländern werden hierbei vermeintliche E-Mails mit wichtigen Informationen und aktuellen Nachrichten ausgesandt. Im Anhang befindet sich dann eine Word-Datei, welche die empfangende Person beim Öffnen der Datei dazu auffordert, die Ausführung von Makros zu aktivieren um den Inhalt der Datei einzusehen. Wird dieser Aufforderung Folge geleistet, installiert sich die entsprechende Schadsoftware im Hintergrund. 

Exemplarisches Phishing E-Mail

Abbildung 2: Exemplarisches Phishing E-Mail zur Installation von Schadsoftware

In neueren Versionen von Emotet werden hauptsächlich die Kernkomponenten installiert. Die Schadsoftware verbindet sich zu einem sogenannten C&C-Server (Command and Control), der Steuerzentrale der Angreifer, welche es diesen unter Umständen erlaubt den Rechner aus der Ferne zu steuern oder weitere Viren und Trojaner nachzuladen. Ein beliebtes Beispiel hierfür ist Ransomware, welche versucht Daten auf allen Geräten im Netzwerk zu verschlüsseln und anschließend Lösegeld zu fordern.  Die Daten werden in “Geiselhaft” genommen.

WiFi Spreader

Wie bekannt wurde, muss die Erstinfektion nicht immer durch Phishing E-Mails stattfinden. IT-Systeme können auch infiziert werden, wenn diese sich in der Nähe von infizierten Geräten befinden. 

Ist das WLAN-Netzwerk der eigenen Firma auch in benachbarten Räumlichkeiten verfügbar, könnte die Malware über infizierte Geräte von benachbarten Unternehmen oder Kundengeräten in das Netzwerk gelangen.

Emotet nutzt hierbei die WLAN-Schnittstelle eines handelsüblichen Computers, um eine Liste aller verfügbaren WLAN-Netzwerke zu erstellen. Ist der Zugang zu einem der Netzwerke in der Liste mit einem Passwort geschützt, verwendet das Malware-Modul mitgelieferte Passwortlisten, um die Zugangsdaten zu dem WLAN zu erraten. Problematisch ist dies vorwiegend bei der Verwendung von unsicheren Passwörtern für den Zugang zum WLAN.

Sobald Emotet in das WLAN-Netzwerk eingedrungen ist, listet es alle Netzlaufwerke und die darauf verbundenen User auf. Anschließend werden wiederum Passwortlisten verwendet, um das Passwort der mit dem Netzlaufwerk verbundenen Mitarbeiter zu erraten. Ist kein Benutzer verbunden, wird der Benutzername des Administratorkontos verwendet. Sobald das richtige Passwort gefunden wurde, installiert Emotet eine Datei am Netzlaufwerk, um wiederum Geräte in diesem Netzwerk zu infizieren.

Schutz mit einfachen Mitteln

Obwohl sich Unternehmen mit einfachen Mitteln gegen derartige Angriffe schützen können, steigt die Anzahl der Betroffenen stetig. Während zur Abwehr gezielter Phishing-Angriffe eine Awareness-Schulung zur Sensibilisierung sinnvoll ist, können Angriffe über WLAN-Netzwerke vor allem durch die Verwendung von sicheren Passwörtern verhindert werden.

Zu sicheren Passwörtern gibt es unterschiedliche Ansätze. Folgt man internationalen Standards, wie dem NIST 800-63 (National Institute of Standards and Technology) sollten Passwörter aus zumindest acht Zeichen bestehen. Für ausreichenden Schutz sollten diese Passwörter zudem aus einer Kombination von Groß- und Kleinbuchstaben sowie Ziffern oder Sonderzeichen bestehen. Alternativ können ganze Sätze verwendet werden. Wesentlich bei der Wahl sicherer Passwörter ist die Verwendung einer ausreichenden Anzahl an Zeichen (Länge) und verschiedener Zeichensätze (Komplexität).

Um sich komplexe und lange Passwörter leichter zu merken, können sogenannte Passwort-Manager verwendet werden. Diese sind in der Lage eine Vielzahl von Passwörtern verschlüsselt zu speichern und ein Benutzer benötigt nur noch ein einziges Passwort zur Anmeldung am Passwort-Manager selbst.

Wie schützt man sich?

  • Zeitnahes Einpflegen von Security-Updates
  • Verwendung von sicheren Passwörtern (Passwort-Manager) 
  • Verwendung von Zwei-Faktor-Authentifizierung (zB. TAN-SMS)
  • Trennung von Backup-Medien nach Durchführung von Backups
  • Deaktivierung von Makros
  • Regelmäßige Mitarbeiterschulungen
  • Regelmäßige Überprüfung von Berechtigungen

PwC Cybersecurity & Privacy

Das Cybersecurity & Privacy Team von PwC unterstützt seine Klienten in allen Belangen der Informations- und Cybersecurity. 

Sie haben Interesse an unseren Dienstleistungen oder wollen mehr zu Verschlüsselungstrojanern und dem effektiven Schutz wissen?
>>Dann kontaktieren Sie uns noch heute!

Sie interessieren sich für Dienstleistungen im Bereich Cybersecurity?
Mehr Infos finden sie auf >>www.pwc.at/cyber

Medieninhaber und Herausgeber:
PwC Österreich GmbH Wirtschaftsprüfungsgesellschaft, DC Tower, Donau-City-Straße 7, 1220 Wien
Für den Inhalt verantwortlich: StB Mag. Thomas Strobach, thomas.strobach@pwc.com
Für Änderungen der Zustellung verantwortlich: Anna Ring, anna.x.ring@pwc.com, Tel.: +43 1 501 88-3705, Fax: +43 1 501 88-648

Der Inhalt dieses Newsletters wurde sorgfältig ausgearbeitet. Er enthält jedoch lediglich allgemeine Informationen und spiegelt die persönliche Meinung des Autors wider, daher kann er eine individuelle Beratung im Einzelfall nicht ersetzen. PwC übernimmt keine Haftung und Gewährleistung für die Vollständigkeit und Richtigkeit der enthaltenden Informationen und weist darauf hin, dass der Newsletter nicht als Entscheidungsgrundlage für konkrete Sachverhalte geeignet ist. PwC lehnt daher den Ersatz von Schäden welcher Art auch immer, die aus der Verwendung dieser Informationen resultieren, ab.

"PwC“ bezeichnet das PwC-Netzwerk und/oder eine oder mehrere seiner Mitgliedsfirmen. Jedes Mitglied dieses Netzwerks ist ein selbstständiges Rechtssubjekt. Weitere Informationen finden Sie unter www.pwc.com/structure.

Folgen Sie uns