Seit sechs Jahren brandgefährlich: Wie Emotet ein Unternehmen lahm legte

Mann mit Kragenhemd, der auf einer Serverstation in einem Sicherheitsraum arbeitet. Beschäftigte und große Monitore sind im Hintergrund zu sehen.

Die COVID-19-Pandemie bedeutet für uns alle ein Gefühl von Ungewissheit. Die massiven Auswirkungen des Virus‘ auf unseren Alltag steigern unser Bedürfnis nach Informationen – das nutzen Cyberkriminelle aus, um sensible Informationen zu stehlen und Profit aus der Verbreitung von Malware zu schlagen. So warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell vor Phishing-Mails, die als Meldungen zum Corona-Virus getarnt sind. Was passiert, wenn Angriffe wie diese erfolgreich sind, und wie man sie bekämpfen kann, schauen wir uns am Beispiel eines Unternehmens an, das Opfer der Ransomware Emotet wurde.

Sechs Jahre sind vergangen, seit das Schadprogramm Emotet im Juni 2014 erstmals identifiziert wurde. Emotet ist eine hochautomatisierte Malware, mit der Informationen gesammelt werden über Unternehmen, Organisationen und die Menschen, die für sie arbeiten. In Form von Banking-Trojanern und Tools zum Diebstahl von Kreditkartendaten erbeutet Emotet Daten, um Geld zu stehlen oder sich als fremde Person auszugeben. Die Angreifer*innen nutzen die Daten entweder selbst oder verkaufen sie im Darknet, um sich finanziell zu bereichern.

Emotet hat bei zahlreichen Unternehmen und Organisationen Schäden in Millionenhöhe verursacht – und ist weiterhin gefährlich. So sorgte der Fall des Kammergerichts Berlin erst Ende des vergangenen Jahres für Aufsehen: Als Folge des Angriffs waren die Endgeräte des Gerichts über Monate offline, teilweise musste auf Schreibmaschinen zurückgegriffen werden. BSI-Präsident Arne Schönbohm nannte Emotet vor diesem Hintergrund laut einem Spiegel-Bericht „König der Schadsoftware“. Insbesondere in der aktuellen Zeit ist es wichtig, die Gefahr solcher Attacken deutlich zu machen und Menschen für die Bedrohung zu sensibilisieren.

DART: Spezialist*innen für sensible und kritische IT-Umgebungen auf der ganzen Welt

Unsere Sicherheitsexpert*innen vom Microsoft Detection and Response Team (DART) haben viele dieser Angriffe erlebt. Sie sind eine Gruppe von Spezialist*innen, von denen Unternehmen hoffen, sie nie kennenlernen zu müssen. Ihre Aufgabe: kompromittierte Systeme retten. Als Teil der Microsoft Consulting Services (MCS) hat das DART einen einzigartigen Fokus. Es nutzt die strategischen Partnerschaften von Microsoft mit Sicherheitsorganisationen auf der ganzen Welt und arbeitet eng mit anderen Microsoft-Abteilungen zusammen. Das Team hilft vor Ort oder aus der Ferne und wird von Regierungsstellen und Konzernen angefragt, um ihre sensiblen und kritischen IT-Umgebungen zu sichern.

Wir haben bereits berichtet, wie ein unsicheres Passwort die geheimen Daten eines Unternehmens für Hacker offenlegte – ganze 243 Tage lang. Nun schauen wir uns die Geschichte eines Konzerns an, der Opfer einer Emotet-Attacke wurde. Um die Betroffenen zu schützen, nennen wir das Unternehmen in diesem Text Fabrikam.

Tag 0 – Der Angriff beginnt

Fabrikam wusste, dass das Problem außer Kontrolle geraten war, als auch die letzte ihrer Maschinen überhitzte. Eigentlich gingen alle Mitarbeiter*innen davon aus, dass das Unternehmen mit Firewalls und Antivirenprogrammen geschützt war. Doch als ein Computerbildschirm nach dem anderen schwarz wurde, wusste niemand, was passiert war – oder zu tun ist.

Das sind die Fakten, die wir über den Beginn des Emotet-Angriffs auf Fabrikam mit Sicherheit sagen können: Die Cyberkriminellen verschickten zahlreiche Phishing-Mails an Angestellte des Unternehmens. Eine*r von ihnen öffnete die angehängte Datei – diese übertrug die Anmeldedaten auf den Server der Angreifer*innen. Von diesem Moment an kontrollierten die Hacker den Computer.

Tag 4 – Das Netzwerk stürzt ein

Vier Tage nachdem der bösartige E-Mail-Anhang geöffnet wurde, nutzten die Angreifer*innen die Kontrolle über den gehackten Account, um unerkannt weitere Phishing-Mails innerhalb des Unternehmens zu verschicken. Ein heimtückischer und effektiver Weg, um ein Netzwerk komplett zu infizieren. Viele gängige E-Mail-Filter scannen interne Nachrichten nicht auf Malware, Menschen vertrauen den Nachrichten ihrer Kolleg*innen. Die Klickrate für gefährliche Anhänge steigt.

Eine der tückischen Eigenschaften von Emotet ist seine wandelnde Gestalt. Es ist ein polymorpher Virus, das bedeutet, er verändert sich fortlaufend. So ist er der Antiviren-Software immer einen Schritt voraus. Über Accounts von Administrator*innen verbreitet Emotet Trojaner, die weitere Zugangsdaten ergattern und authentifiziert sich mit den Daten im Netzwerk selbst. So infiltrierte Emotet die gesamte Infrastruktur von Fabrikam – ohne einen Alarm auszulösen. Dann brachten die Angreifer*innen das Netzwerk zum Erliegen.

Der Absturz geschah an einem Samstag. Die meisten Fabrikam-Büros waren über das Wochenende unbesetzt, sodass niemand bemerkte, als die ersten Computer abstürzten. Die Rechenkraft ihrer Prozessoren hatten das Maximum erreicht. Und so versagte ein PC nach dem anderen, wie eine Kette umfallender Dominosteine, bis auch die kritischen IT-Umgebungen ausfielen. Die Finanzabteilung konnte keine Überweisungen mehr tätigen, die 185 Überwachungskameras von Fabrikam waren betroffen, Partnerorganisationen hatten keinen Zugriff auf gemeinsam genutzte Datenbanken. Chaos.

Der Fachbegriff für diesen Vorgang lautet „Distributed Denial of Service“ (DDos). Die Angreifer*innen nutzen kompromittierte Computer, um ein Netzwerk mit Internet-Traffic zu überfluten. Bis nichts mehr geht. Der Schaden betrug laut Fabrikam am Ende der Attacke mehr als eine Millionen US-Dollar. Die IT-Abteilung des Unternehmens hatte einen solchen Angriff noch nie erlebt. War es ein externer Angriff? Oder ein interner Virus? Emotet verbrauchte die gesamte Bandbreite des Netzwerks, auf das die Fabrikam-IT-Abteilung nun keinen Zugriff mehr hatte. Selbst E-Mails kamen nicht durch, ununterbrochen klingelten die Telefone. Das Unternehmen brauchte Hilfe.

Tag 8 – Das Ende des Angriffs

Acht Tage nach Öffnen der infizierten E-Mail wandte sich Fabrikam an das Microsoft Detection and Response Team (DART). Die Sicherheitsexpert*innen halfen sowohl aus der Ferne als auch vor Ort. Denn dort herrschte vor allem eines: Erschöpfung. Seit Tagen hatte das IT-Team versucht, das System irgendwie über Wasser zu halten.

Zusammen mit Fabrikam entwickelte DART einen Plan: Zunächst nahmen sie architektonische Änderungen im Netzwerk vor, um Emotet zu stoppen. Mit spezialisierten Tools verschafften sie sich Zugang zum Netzwerk und errichteten Pufferzonen. So konnte Emotet nicht mehr zwischen den Geräten hin- und herspringen und sie erneut infizieren. Innerhalb der Zonen identifizierten Microsoft-Programme den Virus, löschten ihn und gaben seine Anti-Virensignatur weiter. Nach der Reparatur des Microsoft System Center Configuration Manager kam Fabrikam wieder auf die Beine.

Wie hätte der Angriff verhindert werden können?

Um Unternehmen und Organisationen vor der täglich drohenden Gefahr schwerwiegender Cyberattacken zu schützen, bieten wir bei Microsoft umfassende Sicherheitslösungen. E-Mail-Filter-Tools wie Microsoft 365 Advanced Threat Protection (ATP) erkennen und verhindern die Verbreitung von Malware in internen E-Mails. Die Multi-Faktor-Authentifizierung (MFA) erschwert die Nutzung gestohlener Zugangsdaten. Insbesondere wenn der Basisschutz eines Netzwerks versagt, braucht es Tools, die dennoch Aktivitäten im Netzwerk verfolgen können: Microsoft Defender Advanced Threat Protection, Azure Security Center und Azure Advanced Threat Protection erkennen das Verhalten infizierter Maschinen und verhindern, dass sich ein Virus von dort aus weiterverbreitet.

Auch sechs Jahre nach seiner Identifizierung richtet Emotet noch erheblichen Schaden bei zahlreichen Unternehmen und Organisationen überall auf der Welt an. Dabei sind es oft einfache Maßnahmen, mit denen sich Unternehmen auch vor gefährlichen oder ausgeklügelten Attacken schützen können: Aktuelle Virensignaturen, aktualisierte Software und Multi-Faktor-Authentifizierung machen es den Angreifer*innen deutlich schwerer, das Netzwerk eines Unternehmens lahmzulegen. Zahlreiche Tipps und Tools stellen wir in unserer Reihe „Das 1×1 der IT-Sicherheit“ vor. Neben technologischen Lösungen ist jedoch auch die Schulung der Beschäftigten in IT-Sicherheit unumgänglich. Wer die Regeln der Cybersicherheit kennt, ist ein schwieriges Ziel für Hacker und ihre Phishing-Attacken.

Weitere Informationen bietet unser Microsoft Trust Center.


Ein Beitrag von Charlotte Reimann
Communications Manager Modern Work & Security bei Microsoft Deutschland

Charlotte Reimann: Communications Manager Digital Workstyle bei MIcrosoft Deutschland

Tags: ,

Weitere Infos zu diesem Thema