Gefährlicher Schädling

Melani schlägt Alarm wegen Emotet-Trojaner

Uhr

Die Melde- und Analysestelle Informationssicherung Melani hat eine Warnung vor dem Trojaner Emotet herausgegeben. Er nutze Social Engineering, um Unternehmensnetzwerke anzugreifen.

(Source: Gunnar Assmy / Fotolia.com)
(Source: Gunnar Assmy / Fotolia.com)

Die Melde- und Analysestelle Informationssicherung Melani warnt vor einer Malspam-Welle mit infizierten Word-Dokumenten. Sie verbreite den Trojaner Emotet, der auch als Heodo bekannt sei. Der ursprüngliche E-Banking-Trojaner werde heute vor allem für den Versand von Spam sowie für das Nachladen von Schadsoftware (Malware) verwendet, schreibt Melani in einer Mitteilung.

Emotet täusche den Empfänger mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten. Der Trojaner wolle zum Öffnen des infizierten Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros verleiten.

Vergangene Woche warnte bereits das deutsche Bundesamt für Sicherheit in der Informationstechnik vor Emotet. Der Schädling nutze die bereits länger bekannte Schwachstelle "Eternalblue" im SMB-Proktoll aus und lade unter anderem den E-Banking-Trojaner "Trickbot" nach. Laut Melani nutzen Angreifer Emotet auch, um PCs und Server in Firmennetzwerken mit dem Verschlüsselungstrojaner "Ryuk" zu infizieren. Die Ransomware verschlüssele Dateien und fordere vom Opfer mindestens 200'000 Franken Lösegeld.

(Source: Melde- und Analysestelle Informationssicherung Melani, admin.ch)

Windows-Nutzer sollten Back-ups offline lagern

Betroffen seien ausschliesslich Geräte wie Computer und Server, die auf einem Windows-Betriebssystem laufen. Durch die vorhandene Wurm-Komponente bestehe bei einer erfolgreichen Infektion ein hohes Risiko, dass sich der Trojaner im Unternehmensnetzwerk weiterverbreite und erheblichen Schaden anrichte, sagt Melani.

Melani empfiehlt, regelmässig Back-ups zu erstellen und diese offline zu lagern. "Stellen Sie sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Back-up-Vorgang vom Computer beziehungsweise Netzwerk trennen". Ansonsten würden bei einem Ransomware-Befall möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.

Melani sagt: Updates und Nutzerrechte im Auge behalten

Das Betriebssystem und die installierten Applikationen sollten auf den neuesten Stand gebracht werden, am besten mit der automatischen Update-Funktion, schreibt Melani. Es sei zudem sinnvoll, Netzwerke nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und Regionen zu segmentieren. Admins sollten ausserdem das Prinzip der minimalen Rechtevergabe einhalten.

Weiter empfiehlt Melani, für das Management der Systeme und für die Durchführung von Zahlungen dedizierte Geräten mit keinem oder nur eingeschränktem Internetzugang zu verwenden. Die Ausführung von unsignierten Office-Makros sollte unterbunden werden.

Melani rät, Websites, die Emotet verbreiten, am Netzwerkperimeter wie beispielsweise Web-Proxy oder DNS zu sperren. Eine Liste solcher Webseiten gebe es zum Beispiel auf abuse.ch. Auch die Netzwerk-Kommunikation mit Servern, die mit Emotet infizierte Geräten fernsteuern, sollte blockiert werden. Eine Liste solcher IPs gibt es ebenfalls auf abuse.ch.

Webcode
DPF8_119832

Kommentare

« Mehr