Schadprogramm Emotet zurück in der Schweiz

29.11.2021 - In den vergangenen Tagen wurde aus verschiedenen Ländern die Rückkehr von Emotet gemeldet. Nun wurden auch solche Spam-E-Mails von .ch-Absendern beobachtet. Emotet versteckt sich häufig in Microsoft Office-Dateien und benötigt Makros, um das Schadprogramm auf dem IT-System, also zum Beispiel einem Computer, zu installieren. Solche Angriffe können sowohl private Anwender als auch Unternehmen, Behörden und kritische Infrastrukturen treffen. Das NCSC ruft zur grösstmöglichen Vorsicht auf - insbesondere bei E-Mails mit Dateianhängen.

Im Januar 2021 informierte Europol, über eine grosse Aktion (Operation Ladybird) gegen Emotet, in deren Rahmen die Command and Control Server aus dem Netz genommen wurden und das Botnet durch Europol übernommen wurde. In den letzten Wochen jedoch meldeten Sicherheitsexperten aus aller Welt erneut Angriffe mit dieser Schadsoftware. Seit ein paar Tagen wird Emotet nun auch in der Schweiz beobachtet. Über vier «.ch E-Mail-Adressen» wurden E-Mails mit infizierten Anhängen versendet. Die angehängten Excel-Dokumente enthalten bösartige Makros. Daher empfiehlt das NCSC dringend, Microsoft Office Dokumente auf den E-Mail Gateways zu blockieren (.xlsm, .docm). Eine Übersicht über die Emotet payload delivery sites ist verfügbar auf:

Emotet – die gefährlichste Malware der Welt

Emotet ist eine Schadsoftware, die vor allem über Spam-E-Mail versendet wird. Zu Beginn war Emotet ein reiner Bankentrojaner. Das Ziel der Angreifer war es, in das IT-System der Opfer zu gelangen, um die Zugangsdaten der Bankverbindungen zu erhalten. Danach funktionierte Emotet wie ein «Dropper». Dropper werden oft dazu verwendet weitere Module nachzuladen. Die Zugänge zu den infizierten IT-Systemen werden oft an andere Gruppierungen weiterverkauft. Diese Gruppierung platzieren über diese Zugänge eine Ransomware, verschlüsseln die Daten auf dem Netzwerk, um danach Lösegeld (Ransom) zu erpressen.

Ist die Schadsoftware Emotet einmal im System, ist sie sehr schwer zu entfernen. Emotet ist sehr anpassungsfähig und ist z. B. in der Lage, mittels sogenanntem E-Mail-Harvesting die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme auszulesen. Mit den gesammelten Daten können dann weitere Angriffe gestartet werden. Die neuen Opfer werden mit gefälschten E-Mails im Namen von Kolleginnen und Kollegen, Geschäftspartnern oder Bekannten zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros verleitet.

So schützen Sie sich vor Emotet:

  • Seien Sie auch bei vermeintlich bekannten Absendern misstrauisch, insbesondere bei E-Mails mit Dateianhängen und Links;
  • Suchen Sie bei einer verdächtigen E-Mail den direkten Kontakt zum Absender, um die Glaubhaftigkeit des Inhaltes zu überprüfen;
  • Blockieren Sie Dokumente mit aktiven Makros auf Ihren E-Mail- und Proxy-Programmen;
  • Installieren Sie umgehend alle aktuell bereitstehenden Sicherheits-Updates für Betriebssysteme, Antiviren-Programme, Web-Browser, E-Mail-Clients und Office-Programme;
  • Schützen Sie VPN-Zugänge mit Zwei-Faktor-Authentisierung und achten Sie darauf, dass alle exponierten Geräte rasch gepatched werden;
  • Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten auf externe Datenträger und bewahren Sie diese ohne Netzanbindung auf (offline);
  • Bewahren Sie mindestens zwei Generationen Backups auf;
  • Unternehmen sollten kontinuierlich die Zugriffe auf die unternehmenseigenen Netzwerke überwachen;
  • Leiten Sie bösartige E-Mails an reports@antiphishing.ch weiter oder melden Sie verdächtige E-Mails über das Meldeformular an die Anlaufstelle des NCSC.

Letzte Änderung 29.11.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/emotet.html