Seit Ende 2018 ist die Malware Emotet in der Lage, Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme auszulesen, um auf dieser Basis weitere Angriffe zu starten. Die Verbreitung erfolgt dadurch besonders schnell. Denn weitere Empfänger* erhalten authentisch wirkende E-Mails von Personen, mit denen sie erst kürzlich im Kontakt standen – üblicherweise mit angehängtem Office-Dokument oder einem Link, mit der Bitte diesen zu öffnen.
Wichtigste Schutzmaßnahme: Vorsicht in der E-Mail-Kommunikation. Beim Öffnen von E-Mails sollten Sie unbedingt auf die korrekte Absender-Mailadresse achten und bei Zweifeln keine Anhänge öffnen. Da sich Emotet häufig in Microsoft Office-Dateien versteckt und Makros benötigt, um Schadprogramme installieren zu können, galt es bislang als sichere Maßnahme, diese nicht zuzulassen.
Doch auch diejenigen, die Makros auf ihren Rechnern deaktiviert haben, sind vor Angriffen jetzt nicht mehr gefeit. Mit der Einblendung, dass das angehängte Dokument nicht geöffnet werden könne, weil es auf iOS-Basis erstellt worden sei, versucht Emotet den Empfänger* auszutricksen. Wer anschließend wie gefordert auf zwei Schaltflächen "Enable Edition" und "Enable Content" klickt, aktiviert die Automatik unwissentlich und macht den Weg für die Emotet-Infektion frei. Besonders perfide: Emotet lädt oft weitere Schadprogramme nach. Besonders gefährlich ist das Zusammenspiel mit TrickBot und Ryuk. Als "Türöffner" lädt er den Banking-Trojaner TrickBot nach, der unter anderem Kontozugangsdaten kopiert. Diese Information gibt er an die Ransomware Ryuk weiter, die schließlich als letztes nachgeladen wird. Ryuk verschlüsselt nun alle im System befindlichen Dateien, die TrickBot und Emotet zuvor als sensibel bzw. wichtig eingestuft haben. Datendiebstahl bis zum Systemausfall können die Folge sein.
Sollten Sie in nächster Zeit E-Mails von uns erhalten, möchten wir vorsorglich darauf hinweisen, dass wir garantiert keine iOS-Dokumente verwenden. Sollten Sie eine solche Info erhalten, löschen Sie bitte unverzüglich diese Mail bzw. informieren Sie die eigenen IT-Kollegen* und gerne auch uns. Und schauen Sie bitte ganz genau auf die Absender-Mailadresse. Hier nochmal unsere Absenderadressen, über die wir Sie üblicher Weise kontaktieren: Vorname.nachname[at]reisswolf.com oder auch über Gruppenpostfächer wie beispielsweise service[at]reisswolf.com, vertrieb[at]reisswolf.com oder personal[at]reisswolf.com.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Stern Magazin warnen vor der Schadsoftware.
*w/m/d