Erpressertrojaner Emotet hat neue Ziele im Visier – Nutzen Sie die Testmöglichkeit von Sophos EDR!
Nachdem wir in unserem letzten Blogbeitrag über Emotet schon die Vorgehensweise und die Hinterlist des Trojaners beschrieben haben und vor Phishing-Mails warnten, gibt es nun wieder neue alarmierende Schadensfälle, über die wir informieren möchten.
Behörden lahmgelegt
So erwischte es im Jahr 2019 neben einigen kleinen Unternehmen auch Behörden und Universitäten. Mithilfe von Betreffzeilen wie „Weihnachtsfeier“, „Party Menu“ oder „Urlaubsplan 2019-20“ wurden Nachrichten im Namen des Staates an zahlreiche Empfänger versendet. Das Fiese dabei auch hier: der Trojaner antwortet auf frühere Konversationen.
Im Herbst wurde so das Kammergericht Berlin angegriffen. Nach der Infektion wurden die IT-Systeme heruntergefahren, um eine Ausbreitung zu vermeiden. In den Behörden von Frankfurt und Bad Homburg wurde auf verdächtig viele Spam-Mails hin – in Bad Homburg bestand sogar dringender Verdacht – aus Sicherheitsgründen das Netzwerk gekappt.
„Digitaler Notstand“ an Universitäten
Deutlich schlimmer traf es jedoch die Hochschulen HS Gießen und die Kath. HS Freiburg. In Gießen wurde nach der Infektion mit Emotet die Schadsoftware „Ryuk“ nachgeladen. Nach langer Ausfallzeit werden jetzt neue Passwörter jeweils in Umschlägen an alle 38.000 betroffenen Stud.IP-Nutzer verteilt. In Freiburg hatte sich nach Berichten der Badischen Zeitung ein Rechner mit Emotet infiziert, ein Shutdown sollte eine rasche Ausbreitung verhindern. Auch in diesem Falle hat der Trojaner offenbar die Möglichkeit gehabt, sich durch eine professionelle „Dynamit-Phishing-Mail“ Zugang zum Studentennetzwerk zu verschaffen. Der Vorlesungsbetrieb sowie die Verwaltung hatten wochenlang mit großen Beeinträchtigungen zu kämpfen – zulasten der Studenten.
Auch Vereinte Nationen von Angriff betroffen
Nachdem es zuvor besonders mittelständische Unternehmen und Behörden sowie Schulen getroffen hatte, war nun eine der höchsten politischen Institutionen ins Visier der Verbrecher geraten. Laut „BleepingComputer.com“ wurden 600 E-Mails im Namen der Ständigen Vertretung Norwegens an UN-Mitarbeiter gesendet – mit dem Hinweis, es gäbe ein Problem mit dem unterschriebenen Dokument im Anhang. Wären die im Hauptquartier in New York arbeitenden Mitarbeiter der Aufforderung „Inhalt aktivieren“ nachgekommen, hätte das große Konsequenzen mit sich gebracht – ob die Angreifer Erfolg hatten, ist nicht bekannt.
Mit Sophos auf der sicheren Seite
Im Folgenden erhalten Sie eine Einsicht, wie Sie als Kunde bei Sophos mit CEP-, CIXA-, SVRC- oder SVRCIXA-Lizenz 30-Tage-Testversionen der Endpoint Detection and Response-Schutzsoftware kostenlos in Ihren Konten aktivieren können.
Durch Klicken auf die entsprechenden Felder werden das Bedrohungsanalyse-Center und die wichtige Bedrohungsindikatoren-Übersicht freigeschaltet.
So sieht es aus, wenn EDR etwas Ungewöhnliches entdeckt hat.
Sobald diese Meldung angezeigt wird, sollten Sie sich die Details anzeigen lassen, um entscheiden zu können, ob die Entdeckung kritisch ist:
Wenn nicht, drücken Sie „Verwerfen“. Wenn Sie nicht sicher sind, drücken Sie „Aktuellste Daten anfordern“ bzw. „Bedrohungsfall erstellen“, um sich die Bedrohung genauer anzusehen. Sollte es sich als Schadsoftware herausstellen, wählen Sie „Entfernen und blockieren“ – und dies auf allen EDR-geschützten Rechnern.
Mit den Sophos-EDR-Lösungen sind Sie stets Herr der Bedrohungslage und können sich gegen Schadsoftware wie Emotet absichern.
Sie sind auf den Geschmack gekommen? Wenn Sie ein Sophos-Basisabonnement abschließen möchten, nehmen Sie gerne Kontakt zu uns auf. Wenn Ihnen die Testversion zusagt, ist es natürlich möglich, durch ein Mid-Term-Upgrade den Ablauf Ihrer 30-Tage-Testlizenz zu verhindern!
Autor: Lasse Beckmann, Customer Relations