hacker header

Informationen zum zur Zeit gefährlichsten Virus für Unternehmen

von Kaiser & Schmedding, 11. September 2019

kaiser schmedding logo4

Aktuelle Informationen zum zur Zeit gefährlichsten Virus für Unternehmen

Gefälschte E-Mails im Namen von Freunden, Nachbarn, Geschäftspartnern oder Kollegen gefährden im Moment ganze Netzwerke.

Emotet gilt als eine der größten Bedrohungen durch Schadsoftware weltweit und verursacht aktuell in Deutschland sehr hohe Schäden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen erhalten, die im Zusammenhang mit Emotet stehen.

So haben unter anderem Kriminelle das Netzwerk der Heise-Gruppe (u.a. Herausgeber der Computerzeitschrift c’t) angegriffen und mit diesem Schadprogramm enormen Schaden angerichtet.

So schreibt u.a. die Heise-Gruppe auf Ihrer Homepage:

„Am Montag, den 13. Mai, um kurz vor 15 Uhr öffnete ein Mitarbeiter eine Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und das Unheil nahm seinen Lauf.

Im Hintergrund infizierte Emotet bereits sein Windows-System und begann sofort, sein Unwesen im Heise-Netz zu treiben. Dies äußerte sich zunächst in einigen kleineren Infektionen, die auch Alarme der eingesetzten Antiviren-Software (Avira und Windows Defender) auslösten. Die hinzugezogenen Administratoren reinigten diese Systeme oberflächlich und waren zunächst der Überzeugung, das Problem damit im Griff zu haben.

Das änderte sich Mittwochnachmittag, als in den Firewall-Logs reihenweise Verbindungen zu bekannten Emotet-Servern auffielen. Ein schneller Check zeigte, dass bereits eine ganze Reihe von Rechnern über seltsame Verbindungen etwa auf TCP-Port 449 nach draußen kommunizierte. Das bedeutete: ROTER ALARM!

Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms.

In der Regel funktioniert dieses Programm so…

  • Empfänger erhalten E-Mails mit authentisch, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen.
  • Alle Angaben von Namen, Mailadressen, Betreff, Anrede und Signatur und letzte Inhalte wirken echt.
  • Die E-Mail fordert zum unbedachten Öffnen des schädlichen Dateianhangs oder einer in der Nachricht enthaltenen UR auf.

Ist der Computer erst infiziert, lädt Emotet weitere Schadensoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabflüssen oder ermöglichen den Tätern den Zugriff bzw. die Kontrolle zu ihrem System.

In mehreren Fällen, die u.a. dem BSI bekannt sind, führte dieser Virus zu großen Produktions- und Geschäftsausfällen da ganze Unternehmensnetzwerke neu aufgebaut werden mussten.

Wie Sie sich schützen können:

  • Installieren Sie zeitnah bereitgestellte Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (z.B. Web-Browser, E-Mail-Clients, Office-Anwendungen usw.)
  • Setzen Sie Antiviren-Software ein und aktualisieren Sie diese immer wieder
  • Sichern Sie regelmäßig Ihre Daten (Backups)
  • Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere von Office-Dokumenten) und prüfen Sie die in den Nachrichten enthaltenen Links, bevor Sie diese anklicken.
  • Haben Sie ein ungutes Gefühl, kontaktieren Sie den Absender und erkundigen Sie sich, ob die Datei wirklich von ihm stammt

Was können Sie bei einem Befall tun:

  • informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mailkontakte sind besonders gefährdet
  • Andern Sie alle gespeicherten Zugangsdaten
  • bei einem Befall müsse Sie einen spezialisierten IT-Experten zu Rate ziehen

Die K&S Cyberpolice bietet Versicherungsschutz und eine große Bandbreite von Dienstleistungen bei einem solchen Befall. Wir beraten Sie gerne für einen umfassenden Schutz Ihrer gesamten IT-Infrastruktur.

P.S.: Für alle die es interessiert, hier der Ausschnitt, was die Heise-Gruppe alles machen musste…

„Aufräumarbeiten Die infizierten Rechner wurden alle komplett außer Betrieb genommen. Auch die scheinbar sauberen Windows-10-Rechner kamen nicht mehr mit anderen Netzen oder gar dem Internet in Verbindung. Und das wird auch so bleiben. Weil es sich als aussichtslos erwiesen hat, alle Emotet-Aktivitäten lückenlos zu dokumentieren und man kein Risiko einer erneuten Infektion etwa durch eine übersehene Backdoor eingehen will, werden die betroffenen Komponenten alle stillgelegt beziehungsweise neu aufgesetzt.

Die Admins haben sich entschieden, ein komplett neues Netz mit neu aufgesetzten Rechnern und einem neuen Active Directory hochzuziehen. Dabei werden auch gleich neue, verschärfte Sicherheitsmaßnahmen umgesetzt, die eine vergleichbare Eskalation zukünftig unterbinden oder doch deutlich erschweren sollen. Existierende Daten, Werkzeuge und Ähnliches werden unter größter Vorsicht Schritt für Schritt in dieses neue Netz übertragen. Zwar ist mittlerweile die Arbeitsfähigkeit weitgehend wiederhergestellt, doch es wird sicher noch einige Wochen dauern, bis dieser Umzug vollständig abgeschlossen ist.

Welche Daten die Kriminellen bereits abziehen konnten, ist noch nicht ausreichend geklärt. Die Verantwortlichen haben den Vorfall jedenfalls bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet, wie es die DSGVO fordert. Darüber hinaus wurde der Vorfall bei der Polizei zur Anzeige gebracht. Auch Geschäftspartner wurden über das gesteigerte Risiko von Trojaner-Mails informiert.

Die Infrastruktur von Heise Medien und insbesondere der Redaktionen von c’t und heise online ist weitgehend unabhängig von der IT der Heise Gruppe. Es gibt dort keine Anzeichen für eine Kompromittierung durch Emotet. Insbesondere gibt es keinerlei Hinweise, dass Daten von Abonnenten und anderen Geschäftspartnern der Heise Medien in Gefahr waren.

Dieser Vorfall ist noch lange nicht abschließend geklärt. Doch wir werden ihn auch weiterhin so transparent wie möglich handhaben und sicher weitere Artikel dazu veröffentlichen. Ganz oben auf der Liste steht dabei „Wie schützt man sich besser vor Emotet“. Das Wichtigste dazu bereits kurz vorab: Gehen Sie davon aus, dass es auch Ihre Firma treffen wird. Bereiten Sie sich am besten jetzt darauf vor.“

Aus der Presse

Hier sehen Sie die neuesten Pressepräsenzen des DiM-Netzwerkes. Bleiben Sie hier immer auf dem neuesten Stand oder durchstöbern Sie das gesamte Pressearchiv über den Button unten. Wie Sie sich entscheiden: Wir wünschen Ihnen viel Spass.

thumbnail2

Wir sagen Danke für eine gute Zeit in Rheinbach

Möbelkultur, Ausgabe 6/2018

Mit der Harley-Davidson und jede Menge Bölkstoff ging es im Mai für die Mitglieder des DiM nach Rheinbach. Zur großen Premieren-Veranstaltung trafen sich Händler, Verbandsbeauftragte & Branchenexperten im Rheinbacher Ausstelllungszentrum.

Mehr erfahren

thumbnail

Gastgeberqualitäten

Möbelkultur, Ausgabe 8/2017

Mit der „Treppenmethode für den Möbelverkauf“ hat Thomas Witt Consulting inzwischen mehr als 100 Möbelhändler und weit über 2.000 Möbelverkäufer erfolgreicher gemacht. Der Grund für die höhere Abschlussquote liegt im klaren Verkaufsprozess, der dafür sorgt, dass ...

Mehr erfahren

chaar moeku 08 2017

25 Jahre Erfahrung, Know-How & Leidenschaft

Möbelkultur, Ausgabe 7/2017

Die richtige Lösung entwickeln – individuell zugeschnitten auf den Auftraggeber, darum dreht sich alles bei der Chaar Werbeagentur. Dabei schöpft der Werbespezialist aus dem Vollen: Erfahrung aus über 3.000 Projekten, fundiertem Know-How sowie Spaß ...

Mehr erfahren

scanprix presse image

Alle Preislisten auf einen Blick für Tablet und PC

Möbelkultur, Ausgabe 5/2017

Preise aller Kataloge mit einem Klick abrufen, ständige Präsenz im Kundengespräch und eine anschauliche Präsentation auf dem Endgerät – das bietet die Software „SalesPrix“. „Möbelhändler, die das System in ihrem Unternehmen einsetzen, sind ...

Mehr erfahren

mk 12 16 k+s

Im Schadenfall so schnell wie die Feuerwehr

Möbelkultur, Ausgabe 12/2016

Nach den ersten beiden Jahrzehnten in der Möbelbranche, bei der Kaiser & Schmedding - damals noch unter dem Namem Silkenbäumer - unter anderem die Gründung von Einkaufskooperationen des Möbelhandels im Versicherungsbereich begleitet hat, ...

Mehr erfahren

Bitte geben Sie hier Ihren vollen Namen an.
Für telefonischen Kontakt senden Sie uns Ihre Nummer.
Hier können Sie Ihre Nachricht eingeben.