Laut IBM X-Force hat sich die Schadsoftware Emotet in letzter Zeit in Deutschland und Japan verbreitet und zielt immer aggressiver auf Unternehmen in dieser Region ab.
Emotet ist ein Banking-Trojaner, der sich über makrobasierte E-Mail-Anhänge mit Links zu schädlichen Websites verbreitet. Er fungiert hauptsächlich als Downloader für andere Schadsoftware, insbesondere den TrickBot-Trojaner und die Ryuk-Ransomware. Aufgrund seiner polymorphen Natur kann er herkömmlichen signaturbasierten Erkennungsmethoden entgehen, was seine Bekämpfung besonders schwierig macht. Sobald er ein System infiltriert hat, infiziert er laufende Prozesse und verbindet sich mit einem Remote-C&C-Server, um Anweisungen zu empfangen, Downloads auszuführen und gestohlene Daten hochzuladen (us-cert.gov).
Traditionell nutzt Emotet Rechnungsbenachrichtigungen von Unternehmen zur Tarnung und imitiert dabei oft das Branding seriöser Institutionen, um seriös zu wirken. Mit dieser Strategie konnte Emotet Opfer in den USA (52 % aller Angriffe), Japan (22 %) und EU-Ländern (japan.zdnet.comEin Vorfall im Dezember 2019 veranlasste die Stadt Frankfurt, Sitz der Europäischen Zentralbank, ihre network (zdnet.com).
In Japan hingegen agiert die Schadsoftware deutlich aggressiver als in den vergangenen Jahren. Ende 2019 wurde über eine verstärkte Aktivität berichtet, und nach dem Ausbruch des Coronavirus in China änderte Emotet seine Taktik und verbreitet sich nun in ganz Japan in Form gefälschter Gesundheitswarnungen mit beunruhigenden Berichten über Coronavirus-Fälle in den Präfekturen Gifu, Osaka und Tottori (IBM X-Force Exchange).
Dies ist ein gutes Beispiel dafür, was diese Art von Schadsoftware so gefährlich macht: Sie ist nicht nur durch signaturbasierte Methoden nicht zu erkennen, sondern manipuliert auch grundlegende menschliche Emotionen, um sich zu verbreiten.
Der Schutz vor Emotet erfordert daher komplexere Maßnahmen. Neben fundierter Prävention ist Verhaltensanalyse auf der Suche nach Kompromittierungsindikatoren (IoC) ein effektiver Weg, dem entgegenzuwirken. Im Fall von Flowmon handelt es sich dabei um das InformationStealers-Verhaltensmuster (BPattern), das als Standarderkennungsmethode in Flowmon-Anzeigen und beschreibt die Symptome der Anwesenheit von Emotet in der network.
BPatterns können als eine Art Beschreibung davon betrachtet werden, wie sich verschiedene böswillige Akteure in der networkSie ermöglichen es dem System, Bedrohungen von anderen Aktivitäten zu unterscheiden, während es den Datenverkehr überwacht und kritisch analysiert. Im Gegensatz zu herkömmlichen Signaturen suchen BPatterns nicht nach einem bestimmten Codeabschnitt und behalten daher ihre Fähigkeit, Bedrohungen zu erkennen, selbst wenn diese sich verändern und ihren Lebenszyklus durchlaufen.
Laut einer von Fortinet veröffentlichten Analyse verwendet Emotet 5 URLs zum Herunterladen von Nutzdaten und 61 fest codierte C&C-Server (fortinet.com/blog). Diese Informationen sind im BPattern enthalten und werden vom System verwendet, um die Infektion zu erkennen und einzudämmen, bevor sie sich ausbreiten kann. Für zusätzlichen Schutz gibt es auch ein BPattern für TrickBot (TOR_Malware). Beide Muster werden regelmäßig aktualisiert, abhängig von der Entwicklung der Trojaner, und den Nutzern im Rahmen regelmäßiger Updates bereitgestellt. Flowmons Partner Orizon Systems machte uns auf die zunehmende Verbreitung der Emotet-Malware aufmerksam und veranlasste das jüngste Update.
Kein Schutz ist jedoch unfehlbar, und es wird jedem empfohlen, mehrere Ebenen des Cyberschutzes einzurichten und auf dem neuesten Stand zu halten – einschließlich Antivirensoftware, IoC-Erkennung auf Firewalls, Intrusion-Detection-Systeme (IDS) und Verhaltensanalyse auf dem Computer. networkDa sich Emotet über gefälschte E-Mails verbreitet, sollten Benutzer beim Öffnen von Anhängen Vorsicht walten lassen, insbesondere diejenigen, die täglich mit Rechnungen und Dokumenten von Dritten in Kontakt kommen, und verdächtige oder ungewöhnliche E-Mails dem Sicherheitsteam melden.
Um mehr über die Bedrohungserkennung mit Flowmon ADS zu erfahren, Kontakt aufnehmen für weitere Informationen oder versuchen Sie es mit Demo.
Teilen Sie diesen Blog:
Timur ist Gründer und CEO von NEOX Networks, Ein führender Anbieter von network Lösungen für Transparenz und Sicherheit. Mit über 25 Jahren Erfahrung in diesem Bereich verfügt Timur über ein tiefes Verständnis für die Herausforderungen, denen sich die heutigen IT- und OT-Teams gegenübersehen. network und Sicherheitsdomänen. Er setzt sich leidenschaftlich dafür ein, Technologie zur Lösung komplexer Probleme zu nutzen und glaubt, dass effektive network Transparenz ist für den Erfolg jedes Unternehmens im Hinblick auf Verfügbarkeit und Sicherheit von Geschäftsanwendungen entscheidend. Timur hat sich der Entwicklung innovativer Lösungen verschrieben, die den sich wandelnden Bedürfnissen der NEOX-Kunden gerecht werden.