Schäden in Millionenhöhe
BSI warnt vor neuem Angriff eines alten Trojaners

Quellcode auf einem Computerbildschirm
Ein rund vier Jahre alter Trojaner geht wieder um: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor Emotet, einer Schadsoftware, die über Phishing-Mails verbreitet wird und ganze Unternehmen lahmlegen kann. Sie verursache "auch in Deutschland aktuell hohe Schäden", zum Teil "in Millionenhöhe".
Damit Emotet seine schädliche Wirkung entfalten kann, muss einiges zusammenkommen: Ein Empfänger muss in einer Phishing-Mail den Anhang öffnen, der nach einem Word-Dokument aussieht. Wenn Microsofts Software dann startet, erscheint die Aufforderung, Makros zu aktivieren. Erst wenn der Anwender das getan hat, kann der Computer infiziert und weitere Malware aus dem Internet nachgeladen werden. Die kann den Tätern die volle Kontrolle über das System verschaffen.
"In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werden mussten", schreibt die Behörde.
Emotet und die nachgeladenen Programme versuchen zunächst, sich im Netzwerk weiter auszubreiten. Zum einen durch das Auslesen von Kontaktdaten und E-Mail-Inhalten, die automatisiert für weitere Phishing-Mails verwendet werden. Zum anderen mithilfe eines Exploits namens EternalBlue, der eine selbsttätige Verbreitung der Schadsoftware ermöglicht.
EternalBlue ist ein einst der NSA abhandengekommenes Angriffswerkzeug, das in der Folge auch Teil der globalen Zerstörungswelle von NotPetya wurde. Microsoft hat schon vor eineinhalb Jahren Patches zur Verfügung gestellt, die EternalBlue stoppen.
Um sich vor Emotet zu schützen, sollten Anwender erstens keine unverlangt zugesandten Anhänge öffnen oder in Mails auf unbekannte Links klicken und dort Dateien herunterladen, selbst wenn der Absender bekannt ist oder scheint. Administratoren sollten zweitens die Ausführung von Makros in Word verbieten. Drittens sollten sie Sicherheitsupdates und Patches für das Windows-Betriebssystem auf dem neuesten Stand halten. Wer statt Microsoft Word beispielsweise die Open-Source-Alternative LibreOffice nutzt, ist nicht gefährdet.
Anwender, deren System von Emotet befallen worden ist, sollten dem BSI zufolge sofort ihr Umfeld über die Infektion informieren, denn E-Mail-Kontakte und speziell die letzten Konversationspartner sind besonders gefährdet. An sie gehen nämlich die nächsten Phishing-Versuche.
Zudem sollte man auf befallenen Rechnern - etwa in Browsern - gespeicherte Zugangsdaten ändern. Schlussendlich empfiehlt das BSI, Rechner mit Emotet-Infektion lieber komplett neu aufzusetzen, weil der Trojaner und nachgeladene Schadsoftware "meist nicht von Virenschutzprogrammen erkannt" werden und teils tiefgreifende und sicherheitsrelevante Änderungen am System vornehmen, die oberflächliche Bereinigungsversuche überstehen.
pbe