Cybercrime im Jahr 2020: Emotet

Besonders hinterhältig sind Bedrohungen, die mehrere dieser Taktiken kombinieren – wie die Emotet-Angriffswelle, die seit Herbst des letzten Jahres zahlreiche Unternehmen in der Schweiz befällt. Diese zeigt, wie raffiniert professionelle Cyberkriminelle heute vorgehen.

Emotet gerät seit seiner Entdeckung durch Trend Micro im Jahr 2014 immer wieder in die Schlagzeilen, weil das Schadprogramm als besonders zerstörerisch gilt und permanent weiterentwickelt wird. In nur fünf Jahren schaffte es die Schadsoftware, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln, deren Angriffe Kosten von bis zu einer Million US-Dollar für die Wiederherstellung verursachen.

Erfahrene Cyberkriminelle

Die Gruppe hinter Emotet ist mit ihren Angriffen auf mittelständische Unternehmen deshalb so erfolgreich, da sie laut Expertenmeinung einerseits über mindestens zehn Jahre Erfahrung mit Banking-Malware und Info-Stealern verfügt. Andererseits sind ihre Taktiken speziell auf KMUs zugeschnitten und sie arbeiten vermutlich mit anderen, ebenso spezialisierten Gruppen zusammen, um den maximalen Profit aus ihren Angriffen zu schlagen.

Neben der eigentlichen Funktion als Banking-Trojaner betreibt Emotet auch Outlook-Harvesting. Dabei späht die Mal­ware die E-Mail-Adressbücher und den Mailverkehr ihrer Opfer aus. Die Adressen werden einerseits zur Weiterverbreitung von Emotet mittels Spam-Mails genutzt – die von den Cyberkriminellen mithilfe der abgegriffenen E-Mails immer weiter verfeinert werden. Andererseits berichten betroffene Unternehmen auch von einer Zunahme der Phishing- und CEO-Fraud-Versuche nach der Emotet-Infektion. Das weist darauf hin, dass diese Daten auch an andere, auf solche Betrügereien spezialisierte Kriminelle weiterverkauft werden.

Das Angriffsschema wird zudem durch Trickbot erweitert – vermutlich eine weitere Gruppe, die dann übernimmt. Bei Trickbot handelt es sich um einen Info-Stealer, der für die Weiterverbreitung im Netzwerk sorgt, wobei er unter anderem die Eternal-Blue-Schwachstelle ausnutzt. Zudem können die Täter damit das betroffene System weiter ausspionieren, um zu entscheiden, ob sich ein manueller Angriff lohnt, und diesen durchzuführen.

Zuletzt folgt die Ransomware

Die Täter arbeiten wiederum mit einer Gruppe zusammen, die die Post-Intrusion-Ransomware RYUK einsetzt. Diese Gruppe attackiert bevorzugt mittelständische Unternehmen mit flachen Netzwerken. Sie erkunden mehrere Wochen lang das Netzwerk über laterale Bewegungen, bis alle Schwachpunkte gefunden, Back-ups entfernt und Sicherheitsmassnahmen ausser Kraft gesetzt wurden. Dann erst setzen sie ihre Ransomware zeitgleich in allen kritischen Diensten ein. Viele Unternehmen haben dann oftmals kaum eine andere Wahl, als ein Lösegeld zu zahlen. Davon ist jedoch dringend abzuraten. Auch wenn die Opfer auf die Forderungen eingehen, so ist das noch keine Garantie dafür, dass sie ihre Daten wiederbekommen. Und solange die Kriminellen mit ihrer Erpressung erfolgreich sind, werden sie weitermachen.

Schutzmöglichkeiten

Solche ausgefeilten Angriffe von professionellen Cyberkriminellen rechtzeitig zu entdecken und zu bekämpfen, ist eine grosse Herausforderung. Es ist dabei wichtig, die einzelnen Indikatoren, die auf Clients, Servern und im Netzwerk sichtbar werden, zu korrelieren, um zu erkennen, wo der Angriff begonnen und wie er sich danach verbreitet hat. Für ein solches Gesamtbild reicht ein einzelnes Tool in der Regel nicht aus. Vielmehr bedarf es einer umfassenden Security-Strategie mit zugehörigen Tools.

----------

Wir möchten einen möglichst flexiblen Schutz bereitstellen

Mit "Cloud One" will der japanische Anbieter Trend Micro IT-Security aus der Cloud anbieten. Die Plattform bietet einen flexiblen Schutz, der einfach zu automatisieren ist. Was das Angebot noch enthält und wie die weitere Roadmap aussieht, verrät Michael Unterschweiger, Regional Director Schweiz & Österreich. Interview: Colin Wallace

Trend Micro bietet schon seit einem Jahrzehnt Cloud-Security-Dienste an. Wieso kommt "Cloud One" erst jetzt?

Michael Unterschweiger: Trend Micro hat als einer der ersten Hersteller überhaupt Cloud-Security-Lösungen angeboten. In den letzten zehn Jahren haben wir unser Angebot in diesem Bereich kontinuierlich ausgebaut – und es hat sich gelohnt: Erst vor Kurzem hat das Analystenhaus IDC uns in einer Studie als globalen Marktführer für Cloud-Workload-Security anerkannt. Nun kommt "Cloud One", da die Zeit reif dafür ist. Diese neue Plattform richtet sich an Unternehmen, die ihre eigenen Anwendungen in der Cloud entwickeln und ausrollen wollen. Da diese Art der Softwareentwicklung inzwischen in vielen Unternehmen angekommen ist, haben wir uns dazu entschlossen, spezielle Funktionen und Lösungen für sie anzubieten.

Wieso lohnt sich der Umstieg für Unternehmen, die sich bereits mit mehreren Sicherheitslösungen arrangiert haben?

Viele Cloud-Sicherheitslösungen sind unflexibel, schwierig zu verwalten und auszurollen. Zudem fehlt oft die Transparenz, um kurzfristig auftretende Risiken managen zu können. Mit "Cloud One" möchten wir einen möglichst flexiblen Schutz bereitstellen, der einfach zu automatisieren ist und die Nutzer dadurch entlastet. Dabei ist es egal, ob unsere Kunden bereits alle Prozesse vollständig in die Cloud migriert haben oder erst noch dabei sind. Zudem erleichtern wir ihnen auch das Management der Lösungen: Sie erhalten einen Single-Sign-on für alle Dienste, eine gemeinsame Verwaltung von Nutzern und Cloud-Diensten, eine zentrale Management-Konsole und ein einheitliches Preis- und Abrechnungsmodell. Damit können sie sich auf das Wesentliche konzentrieren: möglichst gute, effiziente und sichere Anwendungen zu entwickeln.

Sie starten "Cloud One" mit drei integrierten Diensten. Weshalb werden Dienste wie Container Image Security nicht schon von Anfang an integriert?

Wir bieten im ersten Quartal 2020 drei vollständig integrierte Dienste: Workload-Security, Netzwerksicherheit und Anwendungsschutz. Die weiteren Komponenten werden zunächst als eigenständige Lösungen verfügbar sein und im Laufe des Jahres dann vollständig in "Cloud One" integriert werden. Um diese zusätzlichen Services anzubieten, haben wir uns mit besonders innovativen und leistungsstarken Partnern zusammengefunden: Einerseits sind wir eine strategische Partnerschaft mit Snyk eingegangen, einem Anbieter von Open-Source-Security. Gemeinsam unterstützen wir Entwickler bei der Bewältigung von Herausforderungen durch Schwachstellen in Open-Source-Code. Andererseits haben wir letzten Oktober Cloud Conformity übernommen. Dadurch können wir nun auch Cloud Security Posture Management anbieten und häufig übersehene Sicherheitsprobleme lösen, die durch die Fehlkonfiguration von Cloud-Infrastrukturen entstehen.

Wie werden Sie das Security-Portfolio weiter ­ausbauen?

Angesichts immer ausgefeilterer Cyberangriffe ist es wichtig, dass Unternehmen erfolgreiche Angriffe auf ihre Systeme erkennen, auf sie reagieren und sie beseitigen können. Dabei sollten sie nicht nur die Endpunkte im Blick haben, sondern auch andere beliebte Angriffsvektoren wie E-Mail, Netzwerke, Server und (hybride) Cloud-Infrastrukturen abdecken. Mit unserer Plattform XDR ermöglichen wir genau das. Wir werden in den kommenden Monaten immer mehr unserer Lösungen darin integrieren, um unseren Kunden einen möglichst umfassenden Einblick in die Sicherheit ihrer Systeme zu bieten.