Emotet ist zurück: OneNote im Visier

Ransomware tarnt sich als OneNote-E-Mail-Anhang

(Auszug aus der Pressemitteilung)

Fulda, 07.06.2023 – Kaum eine andere Schadsoftware treibt derart raffiniert ihr Unwesen wie Emotet. Nachdem 2021 die Zerschlagung der Infrastruktur von Emotet durch Behörden zunächst gelang, nahmen die Aktivitäten mit dem Schädling bald wieder zu.

Anzeige

Jetzt ist den Machern hinter Emotet der nächste Clou gelungen: Die Ransomware ist als OneNote-E-Mail-Anhang zurück, warnen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de): „Seit Anfang 2023 ist Emotet als OneNote-E-Mail-Anhang getarnt zurück. Die neue Variante macht es Nutzenden noch schwieriger, die Gefahr zu erkennen und zu vermeiden. Denn die neue Variante ist sehr geschickt in ihrer Tarnung. Den Opfern wird vorgegaukelt, das Dokument sei geschützt und sie müssen auf die Schaltfläche „View“ klicken, um es anzusehen. Tatsächlich verbirgt sich dahinter aber ein eingebettetes Skript, das den Angriff auf den Computer auslöst“, informiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Klickt das Opfer also auf den OneNote-E-Mail-Anhang eines scheinbar bekannten Absenders, wird die Schadsoftware heruntergeladen und die gesamte Festplatte des Computers verschlüsselt. Angreifende haben nun leichtes Spiel und können ein Lösegeld einfordern, um den Zugriff auf die Dateien wiederherzustellen – oder eben auch nicht. „Damit stellt die Ransomware nicht nur eine Bedrohung für Unternehmen und Privatnutzende dar, sondern ist auch ein Beispiel dafür, wie geschickt Social Engineering eingesetzt werden kann, um zum Herunterladen einer Schadsoftware zu verleiten. Es ist daher umso wichtiger, dass OneNote-Nutzende ein hohes Maß an Vorsicht walten lassen und sich vor potenziell verdächtigen E-Mails und Anhängen hüten“, warnt die IT-Sicherheitsexpertin.

Microsoft selbst hat bereits die „OneNote“ Sicherheitslücke, durch die die Malware sich leichter als etwa mit dem Office-Makro einschleusen lässt, erkannt und identifiziert. Es wird bereits an einer Lösung gearbeitet, um das Problem zu beheben und allgemein besseren Schutz vor Phishing Angriffen zu gewährleisten.

Schutzmaßnahmen

„Es ist nicht verwunderlich, dass sich Cyberkriminelle neue Wege erarbeiten, um wieder präsent zu sein und möglichst viel Schaden zu verursachen. So wie im Laufe der Zeit die Sicherheitsaspekte verbessert werden, entwickeln sich auch die Bedrohungen und die Cyberkriminalität immer weiter. Einhunderprozentige Sicherheit gibt es leider nicht, jedoch können Unternehmen einiges dafür tun, die Sicherheit ihrer Daten und des Systems zu erhöhen und somit weniger anfällig für einen Emotet-Angriff zu sein“, führt Patrycja Schrenk aus.

Die Sicherheitsexpertin und ihr Team haben präventive Sicherheitsmaßnahmen zusammengestellt:

Wissen schaffen

Wissen ist die beste Verteidigung gegen Cyberbedrohungen, auch bei Emotet. „In Awareness-Schulungen erfahren Beschäftigte, welche Bedrohungen im World Wide Web existieren, sodass sie diese vorbeugen, aber auch im Fall der Fälle reagieren können“, so Patrycja Schrenk.

Sicherheitsupdates aktivieren und umsetzen

Patches sollten möglichst zeitnah nach ihrer Veröffentlichung umgesetzt werden, um etwaige Sicherheitslücken zu schließen. „Es gibt mittlerweile sogar Hilfsprogramme, die dabei helfen, up-to-date zu sein, egal ob auf dem Server und Online Shop oder auf dem Computer“, gibt Schrenk einen Tipp.

Antivirensoftware-Software regelmäßig nutzen

Eine aktuell gehaltene Antivirensoftware ist Gold wert – vor allem, wenn diese zusätzliche Funktionen, wie Ransomware-Schutz oder eine Firewall, enthält.

Einrichtung von regelmäßigen Backups

Werden durch einen Angriff von Ransomware Unternehmensdaten verschlüsselt, dürften Opfer um jede verfügbare Datensicherung dankbar sein, die sie in regelmäßigen Intervallen angelegt haben. Denn das Backup kann nach der Reinigung der Systeme einfach wieder eingespielt werden. „Doch Vorsicht: Neben der Regelmäßigkeit von Backups ist es genauso wichtig, diese getrennt von der sonstigen IT-Infrastruktur des Unternehmens aufzubewahren. Denn andernfalls könnte die Ransomware auch die Backups mit verschlüsseln“, warnt Schrenk. Idealerweise sollte der Wiederanlauf und die Rückspieglung der Daten geplant werden, so dass im Fall der Fälle jeder weiß, was wann und wie zu tun ist.

Monitoring & Reporting

Permanentes Monitoring hilft, einen Überblick über die eigene IT-Infrastruktur und was darin passiert zu behalten. „Mittlerweile unterstützt sogar künstliche Intelligenz das Monitoring: Sogenannte XDR-Lösungen setzen nicht nur an Endpunkten an, sondern sind in der Lage Sicherheitsbedrohungen in der gesamten Infrastruktur zu erkennen und abzuwehren“, informiert Patrycja Schrenk.

Patrycja Schrenk

Einrichtung von Netzwerk-Segmentierung

Client-, Server-, Domain-Controller-Netze, sowie Produktionsnetze sollten unbedingt voneinander getrennt sein und in Segmenten isoliert administriert werden. Dabei kann nach Anwendungsbereichen, Vertrauenszonen oder Regionen segmentiert sein. „Durch die Segmentierung gibt es nicht nur ein Firmennetzwerk, sondern mehrere unabhängige, die durch kontrollierte Schnittstellen ein Maß an zusätzlicher Sicherheit schaffen“, erklärt die Expertin.

Verwaltung von Berechtigungen

Ein ausführliches und feingranular ausgearbeitetes Berechtigungskonzept verhindert unbefugte Zugriffe sehr effizient. Die goldene Regel lautet dabei nur Berechtigungen zu vergeben, die notwendig sind.

Zugänge sichern

Externe Zugriffe auf das Unternehmensnetzwerk – etwa durch Home-Office-Mitarbeitende – sollten zwingend durch ein VPN abgesichert werden. „Dabei sollten auch die Zugänge selbst abgesichert werden, etwa durch Multi-Faktor-Authentifizierung. Denn selbst wenn Kriminelle an Zugangsdaten kommen, fehlen ihnen weitere Faktoren, die zum Login notwendig sind“, rät Patrycja Schrenk.