Emotet: So schützen Sie sich vor dem Schadprogramm

Emotet begann als Banking-Trojaner, der zunächst nur Bankdaten abfangen sollte. In kürzester Zeit entwickelte sich Emotet zur gefährlichsten Malware der Welt, befiel Systeme von Behörden, Unternehmen und Privatnutzern und infizierte sie mit weiteren Schadprogrammen. Wir erklären, woran Sie Emotet erkennen und wie Sie sich schützen.

Das Schadprogramm Emotet gehört zu einer Malware-Familie, die vor allem Windows-Systeme befällt und zu den Makroviren zählt. Makroviren verfügen über keinen unabhängigen Code, sondern nutzen Makrosprachen vorhandener Anwendungen wie Word oder Excel. Das Perfide daran: Sie verstecken sich in E-Mail-Anhängen, werden beim Öffnen automatisch ausgeführt, nisten sich tief im System ein und laden Malware nach. Genau nach diesem Prinzip geht Emotet vor.

Erstmals entdeckt wurde Emotet 2014 als Banking-Trojaner, der Browser infizierte und Zugangsdaten abfing. In mehreren Versionen entwickelte sich Emotet weiter. Schon bald infizierte die Malware Rechner nicht nur über Spam-Mails und Anhänge, sondern nutzte „Outlook-Harvesting“, um gespeicherte Kontaktdaten in Mail-Accounts auszulesen und anzugreifen. Einmal im System dient Emotet als Türöffner für weitere Schadprogramme.

Die gute Nachricht: Virenscanner sind inzwischen fähig, die meisten Emotet-Varianten zu erkennen. Die noch bessere Nachricht: Dem BKA gelang es 2021, die Infrastruktur und das Botnetz von Emotet zu zerschlagen. Seitdem ist die Malware zu großen Teilen lahmgelegt. Strafverfolgungsbehörden leiteten zudem Informationen über Infektionen an Provider weiter, die Betroffene automatisch benachrichtigten. Am 25. April 2021 löschte sich Emotet durch ein automatisiertes Update von selbst und stellt in naher Zukunft keine größere Bedrohung mehr dar. Allerdings kann es sein, dass Malware, die durch Emotet nachgeladen wurde, weiterhin aktiv ist.

Die Funktionsweise von Emotet ist raffiniert. Die Malware vereint Aspekte anderer Schadsoftware wie Trojaner oder Würmer und geht nach dem ATP-Angriffsprinzip vor. Das bedeutet, dass sich konzentrierte, langanhaltende Cyberangriffe mit Emotet besonders auf komplexe IT-Landschaften und Netzwerke von Behörden und Unternehmen richten. Das Ziel dabei ist, sich möglichst weit zu verbreiten, Nutzerdaten auszuspionieren und zu stehlen, Systeme zu verändern oder mit Ransomware-Attacken Daten zu verschlüsseln und Gelder zu erpressen.

Die Infektion erfolgt durch das Öffnen von Anhängen und Links in Spam-Mails bzw. gefälschten Mails. Durch das Öffnen aktiviert Emotet Makro-Inhalte und befällt das System. Neuere Emotet-Versionen nutzen „Outlook-Harvesting“, um Kontaktinformationen aus Mailkonten und Firmennetzwerken auszulesen. Emotet analysiert vorhandene Kommunikationen, imitiert Mailabsender und schickt gefälschte Schadmails. Ihre Kontakte erhalten täuschend echte Mails von Ihrem Account, ohne dass Sie diese in Ihren gesendeten Mails sehen. Auch Sie erhalten dadurch gefälschte Mails von vertrauten Mailadressen. Eine weitere Verbreitungsmethode ist das Brute-Force-Prinzip, bei dem Emotet Kennwörter-Listen nutzt, um sich in weiteren Netzwerken auszubreiten.

Befindet sich Emotet im System, funktioniert er wie ein Türöffner. Zugangsdaten können an Cyberkriminelle gelangen und Malware wie Banking-Trojaner nachgeladen werden. Darüber hinaus aktualisiert sich Emotet im Hintergrund selbst. Betroffene werden unwissentlich Teil des Botnets.

Der Infizierung mit Emotet läuft in den ersten Stufen fast immer identisch ab:

1. Sie erhalten eine Spam-Mail bzw. eine gefälschte Mail (auch von vertrauten Absendern), in der sich ein bösartiger Link oder ein infizierter Anhang befindet.
2. Sie öffnen den Anhang und aktivieren automatisch schadhafte Makros oder Sie klicken auf den Link und laden unwissentlich Malware herunter.
3. Emotet nistet sich tief im System ein, liest Kontaktlisten und Zugangsdaten aus, breitet sich über Mailkontakte oder angeschlossene Netzwerke aus und verschickt neue Spam- und Phishing-Mails von befallenen Accounts.
4. Emotet lädt weitere Malware wie TrickBot oder Ransomware nach, späht Zugangsdaten aus und führt im schlimmsten Fall zu tiefgreifenden Systemschäden und verschlüsselten Unternehmensdaten.

Eine Emotet-Infektion festzustellen, ist kompliziert. Am Anfang seiner Ausbreitung konnte sich Emotet vor Antivirenprogrammen verstecken und unentdeckt im Netzwerk ausbreiten. Grund für die gute Tarnung waren stetige Aktualisierungen des Codes, wodurch sich die Malware der signaturbasierten Suche von Antivirenprogrammen entzog. Noch raffinierter: Emotet ist in der Lage, in einen unverdächtigen Schlummermodus zu verfallen, wenn Virenscanner seiner digitalen Umgebung nahekommen.

Ist Emotet bereits im System, so werden Sie wahrscheinlich erst darauf aufmerksam, wenn Kontakte gefälschte Mails von Ihrem Account erhalten oder verdächtige Mails von Kollegen oder Bekannten in Ihrem Postfach landen. Auch unerklärliche Infektionen mit anderer Malware deuten auf Emotet hin. Das Entfernen einer Malware mittels Antivirenscanner bedeutet somit nicht, dass Emotet im Hintergrund keine neuen Schadprogramme nachlädt.

Wer auf Nummer sicher gehen will, nutzt neben einer aktuellen Sicherheitssoftware folgende Sicherheits-Tools:

• EmoCheck-Tool: Sucht speziell nach verdächtigen Emotet-Dateien oder Makros im System.
• EmoKill: Scannt nach verdächtigen Systemprozessen, die auf Emotet hindeuten.
• Have I been Emotet (Web-App): Prüft, ob Mailadressen oder Domains Teil eines Botnets waren oder sind.

Die Bereinigung eines befallenen Systems ist aufwendig, insbesondere wenn nicht nur Privatrechner, sondern ein ganzes Unternehmensnetzwerk betroffen ist. In jedem Fall gilt es, alle infizierten Rechner komplett neu aufzusetzen, Kennwörter und Zugangsdaten zu ändern und das System auf den neuesten Stand zu bringen.

Folgende Schritte sollten Sie im Fall einer Infektion befolgen:

• Rechner und Systeme vom Netzwerk isolieren, um die Infizierung einzudämmen
• Sicherungen und Speicherabbilder anfertigen (für spätere Auswertung, Wiederherstellung oder zur Strafverfolgung)
• Nicht über Administratoren-Konten oder privilegierte Konten in betroffenen oder potenziell infizierten Systemen anmelden
• Über externe Kanäle Kennwörter ändern
• Krisenmanagement über externe Kanäle abwickeln, um zu verhindern, dass Cyberkriminelle reagieren
• Mitarbeiter aufklären (auch für den Fall, dass Unternehmensnetzwerke mit privaten Konten genutzt werden)
• Alle Mailkontakte mittels externer Kanäle vor möglichen gefälschten Spam- und Phishing-Mails warnen
• Sobald Systeme isoliert und Kontakte informiert sind, gilt es, die Rechner komplett neu aufzusetzen, um eine vollständige Entfernung der Malware zu garantieren.

Um es gar nicht erst zur Infektion kommen zu lassen, gibt es Schutzmaßnahmen, die jeglichem Malware-Befall vorbeugen können:

• Schalten Sie Makros in Office-Dateien ab oder lassen Sie nur signierte Makros zu.
• Halten Sie Systeme und Anwendungen mit Updates auf dem aktuellen Stand (dazu zählen Betriebssysteme, Antiviren-Software, E-Mail-Konten, Office-Anwendungen und Browser).
• Verdächtige Anhänge oder Links nicht öffnen
• Regelmäßige, parallele Backups wichtiger Daten erstellen und/oder diese in einer externen Cloud speichern
• Bei vermeintlich bekannten Mailabsendern auf Auffälligkeiten achten und Anhänge (vor allem Office-Dateien) nur öffnen, wenn kein Zweifel besteht
• Auf Schreibfehler im Absender, verdächtige Grammatikfehler oder falsche Anreden achten
• Selbst unverdächtige Links von vertrauten Absendern nur anklicken, wenn es sich um HTTPS-Adressen handelt
• Prüfen, ob ein Linktext mit der Ziel-URL übereinstimmt, indem Sie mit der Maus ohne Anklicken über dem Linktext schweben
• Nicht mit Administratoren-Konten privat im Internet surfen
• Hoher Passwortschutz und wenn möglich Zwei-Faktor-Authentifizierung nutzen