Erpressertrojaner auf neuem Niveau: Wie Emotet, Trickbot und Ryuk ihr Unwesen treiben

Angriff Hacker

Typischerweise entsteht die Infektion mit einem Erpressertrojaner wie Emotet durch das Öffnen einer E-Mail, die einen Anhang enthält. Das Gefährliche: Oftmals bezieht sich die Nachricht scheinbar auf einen echten Geschäftsvorgang. Kommt der Mitarbeiter dann der Aufforderung nach, den Bearbeitungsmodus zu aktivieren, breitet sich Emotet sofort auf dem System aus.

Was ist Emotet?

Emotet gehört zu den verheerendsten Gefahren im Bereich Schadsoftware. Hat es sich durch eine gut getarnte Trojaner-Mail auf Ihren Systemen eingeschleust, verbreitet es sich rasend schnell. Doch es kommt selten allein: Nachgeladene Programme wie Trickbot oder Ryuk nutzen die vorhandenen Sicherheitslücken gnadenlos aus und erobern Schritt für Schritt das infizierte Firmennetzwerk.

Oft fangen die Angreifer als nächstes an, sich über einen Fernzugriff in der Firmeninfrastruktur umzusehen und Backups zu orten. Zu einem bestimmten Zeitpunkt wird dann die Kontrolle über die gesamte IT übernommen und Lösegeld gefordert. Dieser Betrag orientiert sich am geschätzten Umsatz der Firma, sodass sichergestellt ist, dass das erpresste Unternehmen zahlungsfähig ist. Da die Nicht-Zahlung der Forderungen existenzbedrohend sein kann, sofern man über keine ausgelagerten Backups verfügt, haben viele Unternehmen bereits gezahlt.

Unsere Erfahrungen mit der gebündelten Gefahr

Die Kombination Emotet-Trickbot-Ryuk hatten wir jetzt bereits bei vier Kunden. Bei einem davon hat Ryuk ganze Arbeit geleistet: Dieser Kunde war mit einem Schlag komplett verschlüsselt, inklusive Außenstandorte. Glücklicherweise hatte das Unternehmen ein Backup auf einem ausgelagerten Magnetband-Massenspeicher, ansonsten wäre es für den Kunden schlecht ausgegangen. Über eine Woche Schichtarbeit hat es gedauert, um die Systeme wieder lauffähig zu bekommen.

Bei den drei anderen Kunden versuchte der Trojaner unter anderem, sich im Netz zu verbreiten. Das fiel uns auf, da entsprechender Datenverkehr auf den Firewalls sichtbar wurde.

„Infizierte Systeme sollte man immer ernst nehmen“, erklärt Anett Beyer, Technical Consultant im Bereich ICT. „Rechner, die mit einem Virus infiziert sind, müssen sofort vom Netzwerk genommen und neu aufgesetzt werden. Desweiteren ist es wichtig, seine Backups regelmäßig anzufertigen und zu prüfen, diese aber auch auf ein externes Medium, also offline auszulagern, um sicherzustellen, dass die Daten nicht über einen Netzzugriff gelöscht oder verschlüsselt werden können.“

Netzwerk infiziert

Wie kann ich mich absichern?

Da die Eingangspforte für einen Trojaner Phishing-Mails sind, empfehlen wir unsere Managed-Service-Lösung MailSec. Die Content-Security befasst sich mit dem Schutz Ihrer E-Mails vor Viren, Würmern und Trojanern sowie mit der Erkennung von neuen Gefahren und der Verhinderung von Spam.

Das bietet Ihnen MailSec:

  • Fünf verschiedene Methoden zur Virenerkennung inkl. Früherkennung durch Virus Outbreak Detection
  • Prüfung von Anhängen innerhalb von ATP durch 59 zusätzliche Anti-Virus-Engines
  • Targeted Fraud Forensics Filter (Schutz vor gezielten Spear-Phishing-Attacken)
  • Management und Update-Service durch SIEVERS-GROUP

Jetzt Beratung anfordern

 

Autor: Lasse Beckmann, Customer Relations

Das könnte Sie auch interessieren