Gefährliche Trojaner-Welle legt ganze Firmen lahm

Achtung gefährlicher Trojaner legt ganze Firmen lahm

IT-Sicherheit im Unternehmen Stolz Computertechnik Meisenheim, Lauterecken, Bad Sobernheim, Kirn, Kusel, Kaiserslautern, Bad Kreuznach, Idar-Oberstein und Rockenhausen, Rheinland-Pfalz, Hessen, Saarland

Eine Cybercrime-Gang legt derzeit in Deutschland ganze Firmen lahm. Die Schäden erreichen schon in einzelnen Fällen Millionenhöhe.
Der Verursacher ist Emotet – ein Trojaner, der mit äußerst gut gemachten Phishing-Mails ins Haus kommt und dabei kaum von echten Mails zu unterscheiden ist.

Die Angreifer schicken sehr gut auf eine Zielperson zugeschnittene E-Mails, mit der Absicht, den Mail-Anhang zu öffnen. So dringen sie selbst in die gesicherten Netze von Regierungen und Rüstungskonzernen ein.

Emotet sammelt seit Monaten bei seinen Opfern Informationen darüber, wer in einer Firma mit wem kommuniziert. Darüber hinaus greifen die letzten Versionen auch den Inhalt der Mails ab. Damit lassen sich Phishing-Mails bauen, die nahezu perfekt an das normale Kommunikationsverhalten in einer Firma angepasst sind.

Wie erfolgt der Angriff?

Aktuelle Emotet-Mails enthalten eine Doc-Datei mit Makros. Deren Abarbeitung muss der Empfänger nach dem Öffnen in Microsoft Word erst gestatten – was offenbar immer wieder geschieht.
Dann wird der Rechner über eingebettete PowerShell-Kommandos infiziert und weitere Schad-Software aus dem Internet nachgeladen.

Die Kollegen von heise security haben hier ein sehr schönes Video veröffentlicht wie der Trojaner vorgeht.

Wie könnt Ihr Euch davor schützen?

Um sich vor Emotet-Infektionen zu schützen, muss man auf eine Kombination von Sensibilisierung bei den Mitarbeitern und technischen Maßnahmen setzen.
Ein Kernpunkt der Infektion ist die Ausführung von Makros, die für Doc-Dateien, die man per E-Mail erhält, nur selten wirklich erforderlich ist.

  • Informiert bitte Eure Mitarbeiter
  • Überlegen Sie ob die empfangene Mail wirklich in den aktuellen Prozess / zum Thema passt
  • Prüfen Sie ob Sie die aktuelle Version ihres Virenscanners haben (meist genügt ein Doppelklick auf das Symbol des Virenschutzes)
  • Überprüft in den Wordeinstellungen (Optionen –> Trust-Center –> Einstellungen für das Trust-Center –> MakroeinstellungenWord Macrosicherheit
    Es gibt jedoch Spezialanwendungen / BranchenSoftware die in Addons in Word nutzen und hier die Markosicherheit vom Hersteller auf deaktiviert gesetzt sein muß. Sollte das bei Ihnen so sein, sollte man mit dem Hersteller prüfen in wie weit man das anpassen kann.

Die heise security hat dazu am 5.12. einen kurzen Bericht veröffentlicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

− 2 = 3

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.