Warnung – Meldung vom 18.01.2019 (Update 23.05.2019)

Erneute Welle des Trojaners Emotet

Bereits Anfang des Jahres wurde wiederholt vor der Schadsoftware Emotet gewarnt. Das DFN-CERT (Computer Emergency and Response Team im Deutschen Forschungsnetz) beobachtet aktuell einen Anstieg von Vorfallsmeldungen. Auch an der Ruhr-Universität kam es kürzlich zu Infektionen.

Die Infektion erfolgt in der Regel über Phishing-Mails, die ein Office-Dokument enthalten oder verlinken. Die Ausführung der darin enthaltenen bösartigen Makros infiziert das System:

• durch Nachladen weiterer Schadsoftware,
• Auslesen von Outlook-Kontakten und E-Mail-Konversationen sowie
• Ausspähen von Zugangsdaten, die im Mail-Programm oder Browser gespeichert sind

Aus den erbeuteten Daten werden bisherige Konversationen mit bekannten Teilnehmern zur Infektion weiterer Nutzer nachgeahmt. Weder Absender noch Sprache oder Mail-Inhalte lassen auf den ersten Blick das Schad-Potential erkennen. Auch andere Rechner in Windows-Netzwerken können sich infizieren.

Zum Schutz vor Emotet (und anderer Schadsoftware) sollte man:

• keinesfalls die Ausführung von Makros in empfangenen Office-Dokumenten zulassen,
• HTML-Mails nur im Text-Format anzeigen lassen, um versteckte Links auf bösartige Webseiten zu entdecken,
• sich die vollständige Mailadresse des Absenders anzeigen lassen (dies hilft allerdings nicht, wenn der Angreifer Zugangsdaten des Absenders verwendet),
• sich Dateiendungen standardmäßig anzeigen lassen und
• ausführbare Dateien (.exe, .bat, .com, ..) nicht öffnen

Wir empfehlen den Einsatz digitaler Signaturen, um die Echtheit von Absendern zu bestätigen. Angehörige der RUB können kostenfrei S/MIME-Zertifikate zur digitalen Signatur erhalten. Weitere Informationen auch auf unserer Webseite zu fälschungssicheren E-Mails und Absendern.

Weiterführende Informationen:

• DFN-CERT: Emotet: Eine Übersicht über die Schadsoftware
• Allianz für Cyber-Sicherheit: Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen

Warnung – Meldung vom 18.01.2019

BSI warnt erneut vor Trojaner Emotet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits Ende 2018 vor dem Trojaner Emotet gewarnt. Nach einer kurzen Pause am Jahresende verteilt sich Emotet seit 4 Tagen wieder massenhaft per E-Mail.
Der Trojaner analysiert Kontaktbeziehungen und E-Mail-Inhalte der Postfächer eines infizierten Systems (Outlook-Harvesting) und generiert daraus authentisch aussehende E-Mails. Empfänger erhalten so gefälschte E-Mails von Absendern, mit denen sie kürzlich in Kontakt standen. Korrekte Angaben von Namen und Mailadressen, Betreff und neuerdings auch E-Mail Inhalten verleiten die Opfer dazu, E-Mail-Anhänge (z.B. eine vermeintliche Rechnung) unbedacht zu öffnen oder einem Link in der E-Mail zu folgen, um eine Datei aus dem Internet herunterzuladen. Durch Öffnen der Dateien wird ein System mit Schadcode infiziert.
Emotet lädt anschließend weiteren Schadcode automatisch nach, z.B. den Banking-Trojaner Trickbot oder die Ransomware Ryuk.
Leider sind im Universitätsnetz schon zahlreiche infizierte Systeme auffällig geworden.
Es ist äußerste Vorsicht geboten: Da emotet sich sehr schnell verändert, können Anti-Virustoolkits und Spamfilter oft nicht schnell genug aktualisiert werden, um den Schadcode zu erkennen. Im Zweifelsfall sollte man immer beim Absender nachfragen, ob die E-Mail tatsächlich von ihm kommt.

Weiterführende Informationen:

• BSI Informationen zu Emotet
• PC-Grundsicherung
• Betrügerische E-Mails erkennen: Phishing