Emotet: Der Feind in meinem Netzwerk

Nach einer längeren Pause ist Emotet seit Mitte Juli aktiv und versetzt insbesondere Unternehmen und Behörden in Angst und Schrecken. Von seiner ursprünglichen Funktion – dem Manipulieren von Onlinebanking-Transaktionen – ist mittlerweile nichts mehr übrig. Denn Emotet ist nur der erste Schritt eines mehrteiligen Cyberangriffs, mit dem Kriminelle am Ende Daten verschlüsseln und das Unternehmen erpressen.

Schritt 1: Geräuschlos im Hintergrund

Den Weg ins Unternehmen findet Emotet in der Regel über einen Mail-Anhang. Diese initialen E-Mails sehen sehr authentisch aus, sodass viele Nutzer diese für echt halten und den infizierten Anhang öffnen. Was dann folgt, passiert meist geräuschlos im Hintergrund – und völlig unbemerkt. Emotet liest als Information-Stealer sämtliche Kennwörter, E-Mails und E-Mail-Adressen aus. Die Schadsoftware taucht tief hinein in die Kontakthistorie und nutzt etwa Inhalte aus E-Mails für nachfolgende Mails, um weitere Geräte zu infizieren. Ausser diesem Spam-Modul besitzt Emotet auch ein Wurm-Modul, mit dem es sich selbstständig im Netzwerk verbreitet. Besonders wirkungsvoll ist die Attacke, wenn die Malware dabei ein Admin-Profil mit weitreichenden Zugriffsrechten innerhalb des Firmennetzwerks infiziert.

Schritt 2: Informationen sammeln

Ist ein Rechner erst einmal infiziert, lädt Emotet zusätzliche Malware nach. Dazu gehört etwa Trickbot, ein aggressiverer Banking-Trojaner. Seine Spezialität: Zahlungsinformationen auslesen, sodass die Cyberkriminellen bestens über die Zahlungsfähigkeit des Unternehmens informiert sind. Ein Wissen, dass sie beim finalen Ransomware-Angriff für ihre Lösegeldforderung nutzen. Denn neuerdings orientiert sich diese am Umsatz. Forderungen gehen weit über die üblichen von mehreren hundert bis tausend Franken hinaus – sechsstellige Summen sind keine Seltenheit mehr.

Schritt 3: Verschlüsseln und erpressen

Mit dem Wissen um die Zahlungsfähigkeit des Unternehmens und der weitreichenden Kontrolle über die IT-Infrastruktur folgt nun der finale Schritt des Angriffs. Mittels Trickbot erlangen die Kriminellen Zugriff auf das Firmennetzwerk und spielen dann händisch die Ransomware aus – zurzeit insbesondere die Verschlüsselungssoftware namens Ryuk. Was dann passiert, ist der GAU für alle Unternehmen: Ryuk verschlüsselt gezielt unternehmenskritische Daten. Bestehende Sicherungskopien im System werden kurzerhand gelöscht. Während das schädliche Handeln von Emotet und Trickbot teilweise über Monate hinweg unentdeckt bleibt, offenbart sich Ryuk recht schnell. Wenn die Lösegeldforderung auf dem Bildschirm erscheint, kommt jeder Abwehrversuch zu spät.

Daten retten, ohne Lösegeld zu zahlen

Unternehmen stehen jetzt vor der entscheidenden Frage: «Lösegeld zahlen oder nicht?» Denn ohne funktionierende IT sind nur noch die wenigsten Firmen arbeitsfähig. Jede Minute kostet bares Geld. Schnell ist auch die Existenz bedroht, wenn ein Betrieb über mehrere Tage nicht einsatzbereit ist. Doch Lösegeld zu zahlen, ist keine Garantie dafür, die eigenen Daten zurückzubekommen.

Es empfiehlt sich die Zusammenarbeit mit Experten zur Datenrettung. Sie verfügen über die notwendige Expertise, um Ransomware zu identifizieren und Systeme wiederherzustellen – ganz ohne Lösegeldzahlung. Gleichzeitig prüfen die Experten auch, über welche Schwachstelle die Schadsoftware in das System eindringen konnte und schliessen diese.

Von Entspannung kann bei Emotet keine Rede sein. Immer, wenn Emotet in den vergangenen Jahren eine Pause eingelegt hat, kam nach Ende dieser Unterbrechung eine neue Funktionalität dazu. Das auftretende «Schweigen im Walde» ist vielmehr Teil des normalen Entwicklungszyklus der grauen Eminenz unter den Schadprogrammen.