Emotet: Nur eine Mail geöffnet

Ein Mitarbeiter des Kunden hatte eine Mail geöffnet, die einen Emotet-Trojaner im Word Dokument im Anhang enthielt. Bei Emotet macht es die Masse: Es werden viele Mails versendet, die Emotet enthalten, irgendwann wird eine schon geöffnet werden. Die Mail war raffiniert gestaltet, eine scheinbare Antwort auf eine Mail, die der Mitarbeiter gesendet hatte. Er öffnete sie und das angehängte Word Dokument zwar auf seinem Tablet, aber leider in der Virtual-Desktop-Umgebung, die ja nicht wie vom Provider vorgeschlagen gehärtet wurde.

Stellenmarkt
  1. IT HelpDesk Spezialist (m/w/d) (z. B. Fachinformatiker, Informatiker)
    Schuler Präzisionstechnik KG, Gosheim
  2. Mitarbeiter (m/w/d) IT-Service-Cluster
    Amprion GmbH, Dortmund
Detailsuche

Der Emotet-Trojaner hat grundsätzlich nur die Aufgabe, andere Malware herunterzuladen und zu installieren, beispielsweise die Schadsoftware Trickbot. Diese kann sich dann auf ungehärteten Systemen über das Netzwerk verbreiten und versuchen, Accounts zu übernehmen, um so einen administrativen Zugriff zu erlangen. Hier war es gelungen, aus der Terminalserver-Umgebung auszubrechen, dann einen Domänenadministrator-Account auf einem Fileserver zu übernehmen, mit dem er sich auf jedem Server installieren konnte.

Wie kam er an das Passwort dieses Accounts? Da Windows im ungehärteten Zustand die Hashwerte der Passwörter der User unverschlüsselt speichert, können diese relativ einfach ausgelesen werden. Über Tools wie Hashcat können diese dann erraten werden, indem Passwörter zufällig erzeugt werden und deren Hashwerte mit dem originalen Hash Wert verglichen werden. Stimmen diese überein, ist das Passwort gefunden.

Die Hashwerte hatte Trickbot zuvor an sein Netzwerk und damit den Kriminellen übermittelt, der viele der rechenintensiven Arbeiten wohl mittels seinem Botnetzwerk ausführen konnte.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Dann war es ein leichtes Spiel: Einen weiteren Kontakt zum Command-and-Control-Server aufnehmen und die Erpresser auf die Maschinen lassen, die dann die Daten verschlüsseln und als finale Handlung eine Textdatei mit einer Bitcoin-Forderung auf jedem Desktop hinterlassen. Die Dienste wie Eventlog, Windows Update und BITS hatte zuvor schon Trickbot deaktiviert.

Schaden in Millionenhöhe

Das Spiel haben die Erpresser x-mal auf allen Servern der Kunden gemacht, auf die sie gelangen konnten. Der Schaden ging in die Millionen, viel davon in die Dienstleistungen und Bemühungen des Providers, den Kunden wieder zum Laufen zu bekommen. Der Erpressung nachzugeben, wäre allerdings wahrscheinlich teurer geworden, zumal der Kunde auch das Angebot einer Versicherung gegen solche Schäden als zu teuer abgelehnt hatte.

Der Provider hatte übrigens immer noch alles richtig gemacht: Da die Umgebung des Kunden isoliert und gut gesichert zu den anderen (private Cloud) Kundenumgebungen lief, blieb der Ausbruch auf die Umgebung des kompromittierten Kunden beschränkt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Was können Unternehmen tun?

Was können Unternehmen nun tun, um sich zu schützen? Zum einen, bei einer kleinen Umgebung tatsächlich in die Cloud zu wechseln. Hier liegt die Verantwortung für den sicheren Betrieb beim Cloudprovider - große Provider wie Microsoft, Amazon oder Google investieren hohe Summen in die Sicherheit.

Zum anderen - bei einer größeren bis großen Umgebung Zeit und Geld in die Härtung der Umgebung investieren und Konzepte wie Tiering (scharfe Trennung der administrativen Ebenen), IAM (siehe im Artikel oben), Härtung der Einzelsysteme oder der Gesamtumgebung umsetzen. Dies oft und gerne auch in Kombination mit einer Cloud-Lösung, die zumindest Teile wie Mailsystem, Fileablage oder Datenbanken in sichere Umgebungen verlegt und mittels cloudbasierter Mailhygiene die meisten Trojaner abfangen kann.

Jeder ist interessant für Ransomware-Gruppen, sogar die Zweimannbude um die Ecke, denn jeder hat Daten, die eine Erpressung wert sind. Sogar Einzelschaffende wie ich müssen sich um Sicherheit bemühen und vorsichtig sein, nicht nur, um ein gutes Beispiel abzugeben. Ich muss schlicht auch meine Daten schützen.

Der angegriffene Kunde hat nach dem ganzen Desaster übrigens viel in Sicherheit investiert. Und das nicht umsonst: Es gab danach diverse Angriffe, die schon auf einem System (Client PC oder Terminal Server Session) gestoppt und sofort isoliert wurden. Die Falldaten des Angriffs wurden von den Schweizer Polizeibehörden an das FBI übergeben, da dieses der Erpressergruppe schon länger auf der Spur war und so neue Erkenntnisse gewinnen konnte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ein Angriff - und die gesamte IT ist unbrauchbar
  1.  
  2. 1
  3. 2
  4. 3


Engel 21. Jan 2022

Nein, du übersiehst nichts. Eigentlich hatte ich genau das mit meinem ersten Satz von...

Mnt 20. Jan 2022

Ja seltsamer Tipp. Ich stehe definitiv dahinter, wenn Mail- und andere Endusersysteme in...

win.ini 20. Jan 2022

Es wurde doch geschildert, das kein Geld für die zusätzliche Härtung bereitgestellt...

phade 20. Jan 2022

Exakt. Das falsche Konzept stammt jedoch von einem Entscheider. - falsche...



Aktuell auf der Startseite von Golem.de
Liberty Lifter
US-Militär lässt ein eigenes Ekranoplan entwickeln

In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
Artikel
  1. Abo: Spielebranche streitet über Game Pass
    Abo
    Spielebranche streitet über Game Pass

    Nach Kritik von Sony gibt es mehr Stimmen aus der Spielebranche, die Game Pass problematisch finden - aber auch klares Lob für das Abo.

  2. Microsoft: Der Android-App-Store für Windows 11 kommt nach Deutschland
    Microsoft
    Der Android-App-Store für Windows 11 kommt nach Deutschland

    Build 2022 Der Microsoft Store soll noch attraktiver werden. So können Kunden ihre Apps künftig ohne lange Wartezeiten direkt veröffentlichen.

  3. Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
    "Macht mich einfach wahnsinnig"
    Kelber beklagt digitale Inkompetenz von VW

    Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Controller (alle Farben) günstig wie nie: 49,99€ • Samsung SSD 1TB 79€ • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34" UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Samsung schenkt 19% MwSt.[Werbung]
    •  /