Emotet – Anwender keineswegs machtlos gegen Cyberattacken

In den vergangenen Wochen sorgte insbesondere die Schadsoftware Emotet für Schlagzeilen. Cyberkriminelle nutzen diese Malware für eine Vielzahl von Attacken, unter anderem auf das Berliner Kammergericht. Bei diesem Angriff vermutlich russischer Hacker sind nach Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI) wahrscheinlich Justizdaten zu Informanten und verdeckten Ermittlungen gestohlen worden.

Die Angreifer nutzen bei ihren Kampagnen dabei die Option, Emotet als eine Art Türöffner zu verwenden, mit dessen Hilfe dann anschließend die eigentliche Schadsoftware auf den betroffenen Rechner heruntergeladen und installiert wird. Dabei kann es sich dann um Ransomware, Trojaner, Stealer oder auch andere Malware handeln.

Die Hacker setzen dabei in der Regel auf E-Mails mit einem angehängten Microsoft Word-Dokument mit Makros, das mit Emotet infiziert ist. Wenn der Benutzer die Makros aktiviert, wird Emotet installiert.

Die nachgeladene Schadsoftware kann auch -Mails und Kontaktdaten auslesen, so dass Kriminelle diese Informationen zur weiteren Verbreitung nutzen können, beispielsweise um geschickte gefälschte, aber doch für den Empfänger überzeugende E-Mails zu erstellen und an weitere Nutzer zu versenden. Somit besteht die Gefahr nicht nur für die durch die Erst-Infektion direkt betroffene Behörde bzw. das Unternehmen, sondern auch Kunden, Lieferanten, Geschäftspartner oder andere Behörde. Aufgrund der hohen Qualität der Fälschungen kann sich heute niemand mehr sicher sein, nicht auch auf eine solche gefälschte E-Mail, z.B. eine fingierte Rechnung, hereinzufallen und somit zum Opfer und unfreiwilliger Helfer der Cyberkriminellen zu werden.

Doch ganz ungeschützt sind die Anwender nicht. Moderne Tools können selbst dann den „Erfolg“ solcher Attacken verhindern, wenn die ersten Schutzmaßnahmen wie Virenschutz und Firewall Emotet nicht erkannt hat und der Anwender ein mit Emotet infiziertes Dokument öffnet. Eine Option hierbei ist das intelligente Management von Zugriffsrechten der Nutzer auf ihre PCs.

So erlaubt beispielsweise die PAM-Lösung (Privileged Access Management-Lösung) BestSafe der Wallix nicht nur die Blockade aller ausführbaren Dateien, sondern ein granulares Management unterschiedlicher EXE-Files. So installiert der Sachbearbeiter vermutlich eher selten eigenständig neue Geschäftsanwendungen, während seine Kollegin aus der Software-Entwicklung dies permanent für ihre neu entwickelte Software machen muss. Mittels BestSafe können die Ausführungen von als gefährlich eingestuften Internetanwendungen (Webbrowser, E-Mail-Clients, Microsoft Office usw.) auf die Privilegien eines Standardnutzers beschränkt werden, anderen Prozessen hingegen wird der Start ausführbarer Dateien auf dem System gestattet. Das Rechtemanagement greift dabei unabhängig von der Rolle der Person im IT-Prozess, sondern kann auch mit typischen Nutzerverhalten im Kontext stehen. Das heißt, auch bei einem Administrator, der sich mit eben diesen Rechten auf einem System anmeldet, werden keineswegs automatisch alle EXE-Dateien ausgeführt, die Malware kann nicht auf das Betriebssystem zugreifen, da selbiges dank der vordefinierten Regeln von BestSafe den Zugriff selbst verweigert. So wird die Infiltrierung des Systems verhindert, da schlicht die Infizierung über die intelligente Rechteverwaltung verhindert wird.