Die COVID-19-Pandemie hat uns aktuell fest im Griff. Cyberkriminelle nutzen unser tägliches Bedürfnis nach Informationen aus, um sensible Informationen zu stehlen und Profit daraus zu schlagen. So warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) explizit vor Phishing-Mails mit Bezug auf das Corona-Virus. Was passiert, wenn Angriffe wie diese erfolgreich sind und wie man sie bekämpfen kann, schaute sich Microsoft am Beispiel eines Unternehmens an, das Opfer einer Ransomware wurde -> Brandgefährlich – wie Emotet ein Unternehmen lahmlegt.
Historie von Emotet
Im Juni 2014 wurde das Schadprogramm Emotet erstmals identifiziert. Bei Emotet es sich um eine hochautomatisierte Malware, die Informationen über Unternehmen, Organisationen und die Menschen darin sammelt. In Form von z. B. Banking-Trojanern und Tools zum Diebstahl von Kreditkartendaten erbeutet Emotet Daten, um Geld zu stehlen / erpressen oder sich als fremde Person auszugeben. Die Angreifer nutzen dabei die Daten selbst oder verkaufen sie im Darknet, um sich zu bereichern.
Emotet hat bei zahlreichen Unternehmen & Organisationen Schäden in Millionenhöhe verursacht und ist immer noch gefährlich. So sorgte der Fall des Kammergerichts Berlin erst Ende 2019 für Aufsehen: Als Folge des Angriffs waren die Endgeräte des Gerichts über Monate offline, teilweise musste auf Schreibmaschinen zurückgegriffen werden. Der Präsident des BSI – Arne Schönbohm – nannte Emotet vor diesem Hintergrund lt. einem Spiegel-Bericht „König der Schadsoftware“. Insbesondere in der aktuellen Zeit ist es wichtig, die Gefahr solcher Attacken deutlich zu machen und Menschen hinsichtlich dieser Bedrohungen zu sensibilisieren!
Microsoft berichtete ebenfalls, wie ein unsicheres Passwort die geheimen Daten eines Unternehmens für Hacker offenlegte – ganze 243 Tage lang.
Nun zur Geschichte eines Konzerns, der Opfer einer Emotet-Attacke wurde. Um das betroffene Unternehmen zu schützen, nennt Microsoft es Fabrikam.
Tag 0 – Der Beginn des Angriffs
„Fabrikam wusste, dass das Problem außer Kontrolle geraten war, als auch die letzte ihrer Maschinen überhitzte. Eigentlich gingen alle Mitarbeiter*innen davon aus, dass das Unternehmen mit Firewalls und Antivirenprogrammen geschützt war. Doch als ein Computerbildschirm nach dem anderen schwarz wurde, wusste niemand, was passiert war – oder zu tun ist.“
„Das sind die Fakten, die wir über den Beginn des Emotet-Angriffs auf Fabrikam mit Sicherheit sagen können: Die Cyberkriminellen verschickten zahlreiche Phishing-Mails an Angestellte des Unternehmens. Eine*r von ihnen öffnete die angehängte Datei – diese übertrug die Anmeldedaten auf den Server der Angreifer*innen. Von diesem Moment an kontrollierten die Hacker den Computer.“
Tag 4 – Das Netzwerk stürzt ein
„Vier Tage nachdem der bösartige E-Mail-Anhang geöffnet wurde, nutzten die Angreifer*innen die Kontrolle über den gehackten Account, um unerkannt weitere Phishing-Mails innerhalb des Unternehmens zu verschicken. Ein heimtückischer und effektiver Weg, um ein Netzwerk komplett zu infizieren. Viele gängige E-Mail-Filter scannen interne Nachrichten nicht auf Malware, Menschen vertrauen den Nachrichten ihrer Kolleg*innen. Die Klickrate für gefährliche Anhänge steigt.“
„Eine der tückischen Eigenschaften von Emotet ist seine wandelnde Gestalt. Es ist ein polymorpher Virus, das bedeutet, er verändert sich fortlaufend. So ist er der Antiviren-Software immer einen Schritt voraus. Über Accounts von Administrator*innen verbreitet Emotet Trojaner, die weitere Zugangsdaten ergattern und authentifiziert sich mit den Daten im Netzwerk selbst. So infiltrierte Emotet die gesamte Infrastruktur von Fabrikam – ohne einen Alarm auszulösen. Dann brachten die Angreifer*innen das Netzwerk zum Erliegen.“
„Der Absturz geschah an einem Samstag. Die meisten Fabrikam-Büros waren über das Wochenende unbesetzt, sodass niemand bemerkte, als die ersten Computer abstürzten. Die Rechenkraft ihrer Prozessoren hatten das Maximum erreicht. Und so versagte ein PC nach dem anderen, wie eine Kette umfallender Dominosteine, bis auch die kritischen IT-Umgebungen ausfielen. Die Finanzabteilung konnte keine Überweisungen mehr tätigen, die 185 Überwachungskameras von Fabrikam waren betroffen, Partnerorganisationen hatten keinen Zugriff auf gemeinsam genutzte Datenbanken. Chaos.“
„Der Fachbegriff für diesen Vorgang lautet „Distributed Denial of Service“ (DDos). Die Angreifer*innen nutzen kompromittierte Computer, um ein Netzwerk mit Internet-Traffic zu überfluten. Bis nichts mehr geht. Der Schaden betrug laut Fabrikam am Ende der Attacke mehr als eine Millionen US-Dollar. Die IT-Abteilung des Unternehmens hatte einen solchen Angriff noch nie erlebt. War es ein externer Angriff? Oder ein interner Virus? Emotet verbrauchte die gesamte Bandbreite des Netzwerks, auf das die Fabrikam-IT-Abteilung nun keinen Zugriff mehr hatte. Selbst E-Mails kamen nicht durch, ununterbrochen klingelten die Telefone. Das Unternehmen brauchte Hilfe.!
Tag 8 – Das Ende des Angriffs
„Acht Tage nach Öffnen der infizierten E-Mail wandte sich Fabrikam an das Microsoft Detection and Response Team (DART). Die Sicherheitsexpert*innen halfen sowohl aus der Ferne als auch vor Ort. Denn dort herrschte vor allem eines: Erschöpfung. Seit Tagen hatte das IT-Team versucht, das System irgendwie über Wasser zu halten.“
„Zusammen mit Fabrikam entwickelte DART einen Plan: Zunächst nahmen sie architektonische Änderungen im Netzwerk vor, um Emotet zu stoppen. Mit spezialisierten Tools verschafften sie sich Zugang zum Netzwerk und errichteten Pufferzonen. So konnte Emotet nicht mehr zwischen den Geräten hin- und herspringen und sie erneut infizieren. Innerhalb der Zonen identifizierten Microsoft-Programme den Virus, löschten ihn und gaben seine Anti-Virensignatur weiter. Nach der Reparatur des Microsoft System Center Configuration Manager kam Fabrikam wieder auf die Beine.“
Wie hätte der Angriff verhindert werden können?
Um Unternehmen und Organisationen vor der täglich drohenden Gefahr schwerwiegender Cyberattacken zu schützen, bietet die moderne Welt der IT-Sicherheitstechnik ein großes Portfolio an Möglichkeiten wie E-Mail-Filter Lösungen, Firewalls oder Multifaktor-Authentifizierung (MFA). Diese sind aber meist sehr kostspielig und rechnen sich für kleine bis mittlere Unternehmen kaum bzw. werden als viel zu teuer erachtet. Dieses Bewusstsein würde sich natürlich ändern sobald das Unternehmen selbst einmal unmittelbar betroffen ist.
Mehr als 6 Jahre nach seiner Identifizierung richtet Emotet immer noch erheblichen Schaden bei zahlreichen Unternehmen und Organisationen weltweit an. Dabei sind es oft ganz einfache Maßnahmen, mit denen sich Unternehmen auch vor gefährlichen oder ausgeklügelten Attacken schützen können: Aktuellste Updates (Software, Hardware, IoT-Geräte, Anti-Virus) und Multi-Faktor-Authentifizierung machen es den Angreifern deutlich schwerer, das Netzwerk eines Unternehmens lahmzulegen.
Neben technologischen Lösungen ist jedoch auch die Schulung der Beschäftigten in IT-Sicherheit unumgänglich! Wer die Grundregeln der Cybersicherheit kennt, ist ein schwieriges Ziel für Hacker und Phishing-Attacken.
Investieren Sie deshalb zuerst in die Sensibilisierung Ihrer Mitarbeiter, um das mit Abstand beste Preis-Leistungsverhältnis in Bezug auf die Verhinderung von erfolgreichen Cyber-Attacken zu erhalten.
Kontaktieren Sie uns gerne für ein individuelles Angebot.