Bedrohung durch Emotet und Trickbot

By Lorenz Szabo | 17 November 2021

Am 15.11.2021 wurde von der deutschen Sicherheitsfirma G DATA | Advanced Analytics GmbH eine Aktivität durch die Schadsoftware Trickbot beobachtet[1]. In einem konkreten Fall versuchte Trickbot auf einem isolierten System des Unternehmens eine Dynamic Link Library (DLL) zu installieren. Nach einer ersten Analyse durch G DATA konnte diese und weitere DLLs mit Emotet in Verbindung gebracht werden. Eine exakte Zuschreibung ist aktuell nicht möglich.

Rein theoretisch sollte Emotet nach einer international-akkordierten Aktion durch Polizeibehörden und IT-Unternehmen nicht mehr existieren. Gegen die mutmaßlichen Mitglieder, Unterstützer und Drahtzieher wird bis dato ermittelt[2]. Trittbrettfahrer, untergetauchte ehemalige Mitglieder oder eine Tarnung für eine andere Gruppierung können nie ausgeschlossen werden. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits kurz nach der Zerschlagung im April 2021 vor einer möglichen Rückkehr von Emotet in alter oder neuer Form. Trickbot verschwand im Gegensatz zu Emotet auch nie komplett von der Bildfläche und wurde im Jahr 2021 bereits mehrfach beobachtet.

  • Emotet wird oder wurde von der Gruppierung TA542 verbreitet. Emotet wurde in Medien als Banken-Trojaner oder Info-Stealer, Ransomware, globale E-Mail-Kampagne oder als Anbieter von „Ransom-as-a-Service“ beschrieben. Im Jahr 2020 haben wir Emotet als Betreiber eines Botnets kategorisiert.
  • Nachdem ein Computer von Emotet infiziert wird, meist in Form eines Anhangs an Phishing-E-Mails, folgt die Schadsoftware in Form von Qbot oder Trickbot. Erst danach, quasi zu guter Letzt, folgt die Ransomware Ryuk/Conti. Zeitpunkt, Anzahl der Infektionsstufen und Schnelligkeit der Ausbreitung können sich je nach IT-System des Opfers unterscheiden. Auch die „umgekehrte“ Reihenfolge, zuerst Trickbot und danach Emotet, wurden beobachtet.
  • Die Phishing-Kampagnen zur Verbreitung von Emotet treten in Wellen auf und nutzen verschiedene Sprachen für unterschiedliche Ziele. Die E-Mails sind in der Regel sehr sorgfältig geschrieben und beschreiben globale Ereignisse und Umstände wie Weihnachten, Corona-Pandemiehilfe oder Greta Thunberg.
  • Emotet verbreitete bis dato auch weniger bekannte Malware wie Dridex und DanaBot, wie eine Untersuchung der Sicherheitsfirma Intel 471 ergab. Microsoft berichtete im April 2020 von einer Neuerung, dass Emotet ein komplettes Unternehmen außer Gefecht setzte, indem es die CPUs der betroffenen Workstations auslastete und überhitzte. Das geschädigte Unternehmen war eine Woche lang nicht funktionsfähig. Es hängt eindeutig von den kriminellen Auftraggebern ab, ob Ransomware, ein Banking-Trojaner, Spionage-Software oder zerstörerische Schadsoftware bei den Opfern eingesetzt wird.

Wir raten in den kommenden Wochen daher zu erhöhter Aufmerksamkeit in Bezug auf Phishing-E-Mails mit verdächtigen Dateianhängen. Am 16.11.2021 wurden Anhänge mit .XLSM und .ZIP versandt[3], was sich jedoch relativ schnell ändern kann.

 

Auswirkungen und Workaround 

Eine Infektion mit Emotet/Trickbot ist für die meisten Unternehmen verheerend. Meist werden unternehmenskritische Daten verschlüsselt und Lösegeld gefordert.

Wir empfehlen folgende Maßnahmen zu setzen, um das Risiko einer Infektion zu verringern:

  • Blockieren von verdächtigen Dateianhängen
    • Office-Dateien mit Makros (z.B. XLSM, DOCM, PPTM)
    • Passwortgeschützte ZIP-Dateien
    • Ausführbare Dateien (z.B. com, exe, bat, ps1 etc.)
  • Setzen der Makroeinstellung „Alle Makros mit Benachrichtigung deaktivieren“ bei allen Office-Installationen (z.B. über Group-Policy)
  • Information der Mitarbeiterinnen und Mitarbeiter zur Gefahr durch Phishing/Malware und dem Ausführen von dynamischem Code in Office-Makro-Dateien und PDFs.
  • Aktualisierung aller Schutzmaßnahmen (z.B. Endpoint Protection, Spam-Filter etc.)

   

[1] https://cyber.wtf/2021/11/15/guess-whos-back

[2] https://www.tagesschau.de/investigativ/br-recherche/emotet-schadsoftware-103.html

[3] https://twitter.com/Cryptolaemus1/status/1460403592658145283

 

Informationsquelle(n):

 

BleepingComputer: Emotet malware is back and rebuilding its botnet via Trickbot

https://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/

 

SANS ISC InfoSec Forums: Emotet Returns

https://isc.sans.edu/forums/diary/Emotet+Returns/28044/

 

Tweet von Cryptolaemus

https://twitter.com/Cryptolaemus1/status/1460302706954981385

Lorenz Szabo, Manager

about the author

Lorenz Szabo

Manager

+43 5 70 375 - 1836 [email protected] read full bio