Kategorien
Cybersecurity & IT-Sicherheit

Warnung vor Emotet und getarnten Word-DOCM Dateien (Dezember 2019)

Jetzt gerade, Dezember 2019, verbreitet sich kurz vor Weihnachten eine ganz erhebliche Emotet-Welle. Gerade hat auch das BSI eine akute Warnmeldung herausgegeben, weil offenkundig gleich mehrere Bundesbehörden betroffen sind. Weiterhin sind derzeit mehrere Hochschulen, Städte, Krankenhäuser – und natürlich auch Firmennetzwerke betroffen. Das Problem ist dabei insbesondere ein intensiviertes und perfideres Vorgehen der Malware Emotet, weswegen ich an dieser Stelle nochmals eine eindringliche Warnung herausgebe.

Emotet nutzt vorhandene Daten für Dynamit Phishing

Es wird von Emotet – schon seit längeremauf Dynamit Phishing gesetzt, was heisst: Es wird nicht einfach irgendeine Schrott-Mail versendet, sondern die Mail ist aggressiv, menschliche Affektionen ansprechend und setzt inzwischen auf vorhandene Korrespondenz.

Ausnutzung eines affektiven Zustands

Ein sehr anschauliches Beispiel findet sich bei der Polizei Niedersachsen: Hier wurde (für einen anderen Trojaner) eine Mail generiert, die mit einem Foto zielgerichtet an Gewerbetreibende aus der Gastronomie versendet wurde und die Angst mit einer Lebensmittelvergiftung und einem laufenden Ermittlungsverfahren machte. Das Ziel am Ende: Panik erzeugen, damit der Leser in einer hektischen Reaktion den Mail-Anhang öffnet. Hier wird beispielhaft ein affektiver Zustand des Empfängers zielgerichtet ausgenutzt.

Gut getarnte Word-Mails

Ein anderes Beispiel erreichte mich gestern und veranschaulicht, wie man auch einfach durch gut getarnte Word-Dateien jedenfalls nicht ganz so technisch versierte Nutzer in die irre führen kann. Hier wird eine Word-Datei verschickt, die durch eine gute Gestaltung dazu aufruft, ein Word-internes Makro auszuführen. Das geht so:

Schritt 1: Gestaltung der Mail: Ich habe wiedermal meine Rechnungen nicht bezahlt und werde zur Zahlung aufgefordert. Im Anhang ist eine DOCM Datei, die man mit Word öffnet, auf die der Virenscanner nicht angeschlagen hat.

Schritt 2: Wenn man die Datei dann öffnet, sieht man einen angeblichen Dokumentenschutz, den man erst ausschalten muss durch einen Klick auf das gelbe Banner. Aber: Damit wird dann das Makro ausgeführt.

Die Technik dahinter ist dann im Regelfall recht simpel: Es wird – gerne über den Umweg eines lokal abgelegten codierten JavaScripts – der Download des Trojaners durchgeführt. Durch dieses Vorgehen, insbesondere die codierte Javascript-Datei, schlagen Virenscanner nicht an. Eine etwas komplexere Analyse findet man etwa hier, ich möchte mir das an dieser Stelle sparen. Die Masche selber ist auch nicht wirklich neu, ich kenne sie seit Jahren und in einem englischsprachigen Artikel hier findet man eine sehr schöne Darstellung auf die ich ergänzend verweise.

Das Problem ist die vitale Unfähigkeit einer Vielzahl von Betroffenen: In den letzten Tagen bekam ich nochmals gehäuft Mails zum Jahresende mit Dateianhängen, die in Ordnung waren – sowohl die Schulen, einige Behörden in meinem Umfeld, selbst Amtsgerichte und Landgerichte, verschicken Anschreiben per Mail mit einem Word-Anhang. Als wäre es so ein Problem, die Datei als PDF zu speichern. Einfache Unwissenheit und technische Unerfahrenheit schaffen hier ein erhebliches Risiko.

Problem Datenschutzbehörde?

Ich möchte es offen sagen: Es nervt in Deutschland, wenn es um das Thema Cybersecurity geht: Das bayrische LDA etwa weist vollkommen zu Recht darauf hin, dass ein Fall einer Emotet-Infektion ein meldepflichtiger Vorgang ist. Das Problem ist die daran hängende erhebliche Bussgeldgefahr – anstelle eine Meldepflicht an das BSI samt aktiver Unterstützung zu etablieren, wird wieder einmal seitens des Gesetzgebers und der Behörden mit Sanktionen gedroht. Dabei können derartige Angriffe gerade für KMU regelrecht existenzbedrohend werden. Das Konzept muss an dieser Stelle dringend überdacht werden, andernfalls darf man sich nicht wundern, wenn gerade kleinere Betriebe versuchen zu vertuschen (und damit die Infektionsgefahr drastisch steigern!).

Wie schützt man sich vor Emotet?

Ich bemerke seit Wochen eine zunehmende Intensität der Problematik, was zumindest insoweit interessant ist, weil die Verbreitung des Computervirus damit ähnlich einem Grippevirus ist – in der Winterzeit und zum Jahresende wird es stärker in der Verbreitung.

Da bei Emotet menschliche Schwächen ausgenutzt werden, sehe ich keine allgemeinen Hinweise. Selbst der Hinweis, Makros zu deaktivieren ist begrenzt wirksam wenn man auf mein obiges Beispiel blickt. Ich sehe folgende nicht abschliessende Ratschläge:

  • Mails müssen behutsam geöffnet werden. Niemals darf ein Dateianhang, egal welcher, “einfach mal kurz” geöffnet werden. Bevor Anhänge – und dazu gehören auch Links! – angeklickt werden, muss eine Prüfung der Mail stattfinden.
  • Wenn man selber nicht weiss worauf man achten soll oder die eigenen Mitarbeiter hier nicht ausreichend informiert sind, ist das kein Grund für eine Ausnahme sondern ein zwingender Grund, sich sofort Schulungen zu holen (bei mir folgt zu typischen Merkmalen von schadhaften Mails noch ein Artikel, den ich dann hier verlinke)
  • Meine Faustformel ist: Es wird gar kein Dateianhang geöffnet, wenn er etwas anderes als eine PDF-Datei ist. Und auch PDF-Dateien bieten Angriffspotential, das soll bitte nicht als Freibrief für PDF verstanden werden, sondern nur als erstes Kriterium.
  • Und wenn ich schon dabei bin: Fremde USB-Sticks, fremde Speicherkarten und auch ein Zugang per WLAN in das eigene Netzwerk für Kunden sollten schlichtweg ein “NoGo” sein. Machen Sie sich nichts vor: Sie brauchen ein Sicherheitskonzept, egal ob 1-Mann-Betrieb oder Grossunternehmen. Einen Einstieg in die Generierung eines eigenen Sicherheitskonzepts finden Sie hier bei der Allianz für Cybersicherheit.
  • Bauen Sie Brücken für die Angestellten: Wenn ein Angestellter versehentlich einen eventuell schadhaften Anhang geöffnet hat, tickt die Uhr. Sie können jetzt nicht brauchen, dass nur weil dieser Angst vor der Meldung hat die Situation über Stunden unkontrolliert eskaliert. Sorgen Sie für eine Atmosphäre des Vertrauens um sofortige Kommunikation zu ermöglichen. Mit am schlimmsten wäre es, wenn ein Angestellter auch noch versucht aktiv zu vertuschen (was arbeitsrechtlich für den Arbeitnehmer problematisch wäre, das nur am Rande).

Was tun nach einer Emotet-Infektion?

So hart es ist: Nicht panisch werden, sondern sich Hilfe holen, zielgerichtet vorgehen. Bei einem akuten Befall erscheint es sinnvoll, in einem ersten Schritt sämtliche Netzwerkverbindungen zu kappen aber den Rechner nicht auszuschalten – die Devise ist, sämtliche Rechner im eigenen Netzwerk zu isolieren.

So schwer es im weiteren Vorgehen auch ist, die eventuell Betroffenen Unternehmen und Personen müssen informiert werden, um sich auf eventuelle Angriffe einzustellen. Das bedeutet, man erfüllt seine Meldepflicht und informiert zusätzlich die jeweils Betroffenen in geeigneter Form. Wer das nicht tut, muss sich darüber im Klaren sein, dass hier – jedenfalls im Rahmen laufender Geschäftsbeziehungen – vertragliche Fürsorgepflichten bestehen und möglicherweise (Rechtsprechung hierzu gibt es nicht) bei Außer-Acht-Lassen naheliegender Verhaltensweisen die zu Schäden führen, Schadensersatzansprüche bestehen.

Im Übrigen: Holen Sie sich Hilfe, von einem ITler, der unmittelbar verfügbar ist und Ihnen bei der Sicherung der (sofort isolierten) Infrastruktur hilft.

mm

Von Strafverteidiger & Fachanwalt für IT-Recht Jens Ferner

Ich habe mich als Strafverteidiger & Fachanwalt für IT-Recht fokussiert auf Rechtsfragen rund um Strafrecht, Technik & Arbeitsrecht: IT-Recht, IT-Vertragsrecht, Softwarerecht, künstliche Intelligenz, Datenschutzrecht, Medienrecht ebenso wie IT-Arbeitsrecht, IT-Strafrecht, digitales Werberecht & Urheberrecht. Ergänzend bin ich bei Ordnungswidrigkeiten und im Unternehmensstrafrecht tätig.

Meine juristische Expertise ergänze ich mit umfangreicher technischer Erfahrung als Programmierer & Linux-Systemadministrator inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.