Emotet

Emotet ist eine Form von Schadsoftware, die ursprünglich als Banking-Trojaner zum Stehlen von Finanzdaten konzipiert wurde, sich aber mittlerweile zu einer großen weltweiten Bedrohung für Benutzer entwickelt hat.

Sprechen wir über die Schadsoftware Emotet

Sie haben bestimmt in den Nachrichten von Emotet gehört. Was ist das? Ein alter ägyptischer König oder eine neue Emoband, die bei Teenagern äußerst beliebt ist? Leider falsch, nein.

Emotet ist ein Banking-Trojaner, der erstmals im Jahr 2014 von Sicherheitsexperten entdeckt wurde. Emotet war ursprünglich als Banking-Schadsoftware entwickelt worden, deren Ziel es war, in fremde Computer einzudringen und dort vertrauliche private Daten auszuspähen. In späteren Programmversionen wurde weitere Schadsoftware hinzugefügt, zum Beispiel Spamming-Funktionen und andere Banking-Trojaner.

Emotet ist in der Lage, herkömmliche Antivirenprodukte zu täuschen und die Erkennung durch gängige Virenschutzprogramme zu umgehen. Emotet verbreitet sich wie ein Computerwurm und kann auf diese Weise schnell weitere Computer infizieren. Dadurch wird die rasante Ausbreitung der Schadsoftware zusätzlich unterstützt. Das US-Heimatschutzministerium ist zu dem Ergebnis gekommen, dass Emotet eine besonders kostspielige Schadsoftware mit hoher Zerstörungskraft darstellt. Emotet bedroht sowohl Behörden als auch private Anwender, Firmen und Organisationen. Die Kosten zur Bereinigung werden auf eine Million US-Dollar pro Vorfall geschätzt.

Was ist Emotet?

Emotet ist ein Trojaner, der vor allem durch Spam-E-Mails (MalSpam) verbreitet wird. Die infizierte Mail enthält entweder ein bösartiges Skript, ein Dokument mit aktivierten Makros oder einen bösartigen Link. Emotet-E-Mails sind oft gut gefälscht und täuschend echt als reguläre E-Mails getarnt. Sie versuchen, die Benutzer zum vorsätzlichen Anklicken der bösartigen Dateien zu animieren, indem sie eine vermeintlich harmlose Betreffzeile wie „Ihre Rechnung“ oder „Zahlungsdetails“ verwenden. Mitunter werden auch die Namen von bekannten Paketdiensten missbraucht, um eine bevorstehende Lieferung anzukündigen.

Emotet ist bereits in mehreren Varianten aufgetaucht. Die ersten Versionen enthielten meist nur eine bösartige JavaScript-Datei. Spätere Versionen verwendeten ausgefeilte Dokumente mit aktivierten Makros, um die Payload des Virenangriffs von C&C-Servern abzurufen. 

„Emotet ist ein polymorpher Virus, das heißt, der Code wird bei jedem neuen Abruf leicht verändert, um der Erkennung durch signaturbasierte Virenscanner zu entgehen.“

Emotet verwendet zahlreiche Tricks, um seine Erkennung zu verhindern und einer Analyse vorzubeugen. Emotet ist ein polymorpher Virus, das heißt, der Code wird bei jedem neuen Abruf leicht verändert, um der Erkennung durch signaturbasierte Virenscanner zu entgehen. Darüber hinaus erkennt der Virus, wenn er in einer virtuellen Maschine (VM) ausgeführt wird. Wenn Emotet eine Sandkastenumgebung erkennt, legt er sich dort „schlafen“ und bleibt zunächst untätig.

Emotet verwendet auch C&C-Server, um Updates zu erhalten. Das funktioniert automatisch und nahtlos im Hintergrund auf die gleiche Weise, in der zum Beispiel auch das Betriebssystem auf Ihrem PC aktualisiert wird, ohne dass der eigentliche Vorgang äußerlich sichtbar wäre. So können die Angreifer die einmal vorhandene Schadsoftware regelmäßig aktualisieren, neue Versionen und zusätzliche Schadprogramme installieren oder andere Banking-Trojaner auf dem infizierten Rechner aufspielen. Zudem besteht die Gefahr, dass auf einem infizierten Computer auch gestohlene Daten gespeichert werden, zum Beispiel fremde Bankzugangsdaten, Benutzernamen und Kennwörter oder E-Mail-Adressen.

Neueste Nachrichten zu Emotet

Emotet auf dem Vormarsch mit großer Spam-Kampagne
Schadsoftware-Analyse: Dekodierung von Emotet, Teil 2
Schadsoftware-Analyse: Dekodierung von Emotet, Teil 1
Trojaner: Was steckt dahinter?

Wie verbreitet sich Emotet?

Emotet wird vor allem durch MalSpam verbreitet. Der Virus ergreift Besitz von Ihrer Kontaktliste und versendet sich selbst an alle Ansprechpartner in Ihrem Adressbuch, also an Ihre Freunde, Familienangehörigen, Mitarbeiter und Kunden. Als Absender dieser E-Mails wird jedoch stets Ihr richtiger Name angezeigt. Da Ihr E-Mail-Konto gehackt wurde, sehen die E-Mails nicht wie Spam, sondern wie ganz normale E-Mails von Ihnen persönlich aus. Die Empfänger werden sich also vermutlich sehr sicher fühlen und mit hoher Wahrscheinlichkeit auf bösartige URLs klicken, um infizierte Dateien herunterzuladen.

Wenn Zugang zu einem verbundenen Netzwerk besteht, kann sich Emotet weiter ausbreiten, indem bekannte Kennwörter ausprobiert werden. Nach der Brute-Force-Methode werden komplette Listen mit gängigen oder gestohlenen Kennwörtern abgearbeitet, bis der Angriff auf das verbundene System gelingt. Wenn das Kennwort für den besonders wichtigen HR-Server einfach nur „Kennwort“ lautet, stellt dies in der Regel keine große Hürde für Emotet dar.

Weitere Verbreitungswege von Emotet waren die EternalBlue-Sicherheitslücke und die DoublePulsar-Schwachstelle, die für die WannaCry- und NotPetya-Angriffe verantwortlich waren. Diese Angriffe haben Schwachstellen unter Windows ausgenutzt, die eine unbeaufsichtigte Installation von Schadsoftware ohne menschliches Zutun ermöglicht haben.
Diese Fähigkeit der Selbstreplikation im Stil einer Wurm-Schadsoftware hat Netzwerkadministratoren überall auf der Welt schlaflose Nächte bereitet, weil sich Emotet einfach von System zu System weiterverbreiten konnte.

Was ist die Geschichte von Emotet?

Emotet wurde erstmals im Jahr 2014 erkannt und infiziert und verletzt bis heute Systeme und Benutzer. Das ist der Grund, warum wir heute noch darüber sprechen müssen, anders als über andere Trends aus dem Jahr 2014. (Oder erinnert sich noch irgendjemand an die Ice Bucket Challenge?)

Die erste Version von Emotet wurde dafür entwickelt, Zugangsdaten für Bankkonten zu stehlen, indem Datenverkehr im Internet abgefangen wurde. Kurze Zeit später wurde eine neue Version der Software entdeckt. Diese Version, genannt Emotet zwei, enthielt mehrere Module für ein Geldtransfersystem sowie MalSpam und ein Banking-Modul, das speziell für Angriffe auf Banken in Deutschland und Österreich konzipiert war.

„Aktuelle Versionen des Emotet-Trojaners sind in der Lage, weitere Schadsoftware auf infizierten Rechnern zu installieren. Diese Schadprogramme können zusätzliche Banking-Trojaner enthalten oder erneut MalSpam installieren.“

Im Januar 2015 tauchte eine neue Version von Emotet in der Szene auf. Version drei enthielt verdeckte Veränderungen und Tarnkappen, die es der Schadsoftware ermöglichten, unter dem Radar zu fliegen. Als neue Ziele wurden Banken in der Schweiz ins Visier genommen.

Sprung ins Jahr 2018: Aktuelle Versionen des Emotet-Trojaners sind in der Lage, weitere Schadsoftware auf infizierten Rechnern zu installieren. Diese Schadprogramme können zusätzliche Banking-Trojaner enthalten oder erneut MalSpam installieren.

Auf wen hat es Emotet abgesehen?

Jeder ist von Emotet bedroht. Bis heute hat Emotet Einzelpersonen, Unternehmen und Regierungseinheiten in den USA und in Europa angegriffen und Banking-Zugangsdaten, Finanzdaten und sogar Bitcoin-Bestände und -Guthaben gestohlen.

Nach dem denkwürdigen Emotet-Angriff auf die Stadt Allentown im US-Bundesstaat Pennsylvania wurde direkte Hilfe durch das Incident Response Team von Microsoft benötigt, um die infizierten Computer zu bereinigen. Die Gesamtkosten für die Stadt beliefen sich auf mehr als eine Million US-Dollar.

Seitdem Emotet auch in der Lage ist, selbstständig weitere Banking-Trojaner herunterzuladen und zu verbreiten, wird die Liste der potenziellen Angriffsziele immer größer. Die ersten Versionen von Emotet wurden verwendet, um Bankkunden in Deutschland anzugreifen. Spätere Versionen von Emotet haben Organisationen in Kanada, Großbritannien und den USA ins Visier genommen.

„Nach dem denkwürdigen Emotet-Angriff auf die Stadt Allentown im US-Bundesstaat Pennsylvania wurde direkte Hilfe durch das Incident Response Team von Microsoft benötigt, um die infizierten Computer zu bereinigen. Die Gesamtkosten für die Stadt beliefen sich auf mehr als eine Million US-Dollar.“

Wie kann ich mich vor Emotet schützen?

Indem Sie sich darüber informieren, wie Emotet funktioniert, unternehmen Sie bereits den ersten Schritt, um sich und andere vor Emotet zu schützen. Zusätzliche Schritte umfassen:

  1. Installieren Sie auf allen Computern/Endpunkten immer die neuesten Patches für Microsoft Windows. Da Emotet die EternalBlue-Schwachstelle von Windows ausnutzen kann, müssen Sie diese Hintertür unbedingt schließen.
  2. Laden Sie keine dubiosen Anhänge herunter, und klicken Sie niemals auf verdächtige Links. Fallen Sie nicht auf gefälschte E-Mails herein - denn so bieten Sie Emotet keine Einstiegspunkte in Ihr System oder Netzwerk. Nehmen Sie sich gemeinsam mit Ihren Benutzern Zeit für einen Kurs zur Erkennung von MalSpam.
  3. Als Nächstes sollten Sie und Ihre Benutzer den Kurs zum Erstellen von starken Kennwörtern absolvieren. Verwenden Sie ab sofort nur noch die Zwei-Faktor-Authentifizierung.
  4. Sie können sich selbst und Ihre Benutzer vor Emotet schützen, indem Sie ein robustes Cybersicherheitsprogramm verwenden, das Schutz auf mehreren Ebenen bietet. Die Produkte Malwarebytes Business und Premium erkennen und blockieren Emotet in Echtzeit.  

Wie kann ich Emotet entfernen?

Geraten Sie nicht in Panik, wenn Sie den Verdacht haben, dass Ihr Rechner mit dem Emotet-Virus infiziert sein könnte. Wenn Ihr Computer mit einem Netzwerk verbunden ist, müssen Sie den Rechner sofort isolieren. Nachdem Sie das infizierte System isoliert haben, können Sie damit beginnen, es zu patchen und zu bereinigen. Das ist aber noch längst nicht alles. Aufgrund der Art und Weise, wie sich der Emotet-Virus über das Netzwerk verbreitet, kann ein bereinigter Computer sofort erneut befallen werden, sobald er wieder mit einem infizierten Netzwerk verbunden wird. Reinigen Sie nacheinander alle in Ihrem Netzwerk befindlichen Computer. Das ist ein mühsamer Prozess, aber die Malwarebytes-Lösungen für Unternehmen sind eine große Hilfe und können Sie dabei unterstützen. Mit Lösungen von Malwarebytes können Sie infizierte Endpunkte isolieren, um das Problem zu beseitigen, und Ihre Systeme auf proaktive Weise vor erneuten Emotet-Infektionen in der Zukunft schützen.

Mit diesem Wissen haben Sie aber erst die halbe Schlacht gewonnen. In den Malwarebytes Labs erfahren Sie auch, wie Emotet die Erkennung umgeht und wie der Code von Emotet funktioniert.

Cyber-Sicherheit, ohne die es nicht geht

Sie möchten über aktuelle Entwicklungen bei der Internetsicherheit auf dem Laufenden sein? Erhalten Sie unseren Newsletter und erfahren Sie, wie Sie Ihren Computer vor Bedrohungen schützen können.

Wählen Sie Ihre Sprache aus.