content/de-de/images/repository/isc/2020/emotet.jpg

Was ist Emotet?

Emotet ist ein Computer-Schadprogramm, das ursprünglich in Form eines sogenannten Banking-Trojaners entwickelt wurde. Das Ziel war, in fremde Geräte einzudringen und sensible private Daten auszuspähen. Emotet ist in der Lage, gängige Antivirenprogramme zu täuschen und sich vor ihnen zu verstecken. Einmal infiziert, breitet sich die Schadsoftware wie ein Computerwurm aus und versucht sich auch auf anderen Computern im Netzwerk einzunisten.

Emotet verbreitet sich vor allem durch Spam-E-Mails. Die Mail enthält dabei einen bösartigen Link oder ein infiziertes Dokument mit aktivierten Makros. Lädt man das Dokument herunter oder öffnet den Link, werden automatisch weitere Schadprogramme auf den Computer heruntergeladen. Die E-Mails wirken dabei sehr authentisch.

Der Begriff Emotet

Im Jahr 2014 wurde Emotet erstmals erkannt, als Kunden deutscher und österreichischer Banken von dem Trojaner betroffen waren. Emotet hatte sich Zugang zu den Login-Daten der Kunden verschafft. In den darauffolgenden Jahren konnte sich der Virus weltweit verbreiten.

Mittlerweile hat sich Emotet von einem Banking-Trojaner zu einem Dropper entwickelt, was bedeutet, dass der Trojaner Schadprogramme nachlädt. Diese sind dann verantwortlich für den eigentlichen Schaden im System. Meistens handelt es sich dabei um folgende Programme:

  • Trickbot: Ein Banking-Trojaner, der sich Zugriff auf die Zugangsdaten zu Bankkonten erschleichen will.
  • Ryuk: Ein Verschlüsselungstrojaner – auch Kryptotrojaner oder Ransomware genannt – verschlüsselt Daten und versperrt damit dem Nutzer des Computers den Zugang zu diesen Daten oder zum ganzen System.

Das Ziel der Cyberkriminellen hinter Emotet ist häufig, ihre Opfer um Geld zu erpressen. Sie drohen beispielsweise damit, die verschlüsselten Daten zu veröffentlichen oder nicht mehr freizugeben. Meist wird der komplette Vorgang der Infizierung, des zusätzlichen Downloads der Schadprogramme und deren Verbreitung als Emotet bezeichnet.

Auf wen hat es Emotet abgesehen?

Betroffen sind von Emotet sowohl Privatpersonen als auch Firmen, Organisationen und auch Behörden. Im Jahr 2018 musste das Klinikum Fürstenfeldbruck nach einer Infektion mit Emotet 450 Computer abschalten und sich bei der Rettungsleitstelle abmelden. Im September 2019 war das Berliner Kammergericht betroffen, im Dezember 2019 die Uni Gießen.

Auch die Medizinische Hochschule Hannover und die Stadtverwaltung von Frankfurt am Main wurden von Emotet infiziert. Die Dunkelziffer der betroffenen Firmen wird weitaus geschätzt. Man nimmt an, dass viele infizierte Unternehmen aus Angst um ihre Reputation und vor weiteren Angriffen nicht über eine Infektion berichten wollen.

Während in den Anfangszeiten von Emotet hauptsächlich Unternehmen ins Visier genommen wurden, zielt der Trojaner mittlerweile vorrangig auf Privatpersonen ab.

Welche Geräte sind durch Emotet gefährdet?

Anfänglich wurde eine Infizierung mit Emotet nur auf moderneren Versionen des Betriebssystems Windows von Microsoft entdeckt. Anfang 2019 wurde jedoch bekannt, dass auch Computer des Herstellers Apple von Emotet betroffen sind. Die Hintermänner lockten die Benutzer mit einer gefälschten E-Mail vom Apple-Support in die Falle: das Unternehmen hätte den „Zugriff zu Ihrem Kundenkonto eingeschränkt“. Man solle einem Link folgen, um angeblich eine Deaktivierung und Löschung bestimmter Apple-Dienste zu verhindern.

So verbreitet sich der Emotet-Trojaner

Emotet wird vor allem über sogenanntes Outlook-Harvesting verbreitet. Der Trojaner liest dabei E-Mails bereits betroffener Nutzer aus und erzeugt täuschend echte Inhalte. Diese Mails wirken authentisch und persönlich und heben sich dadurch von gewöhnlichen Spam-Mails ab. Emotet verschickt diese Phishing-Mails an gespeicherte Kontakte weiter, also an Freunde, Familienmitglieder, Arbeitskollegen oder den eigenen Chef.

Meist enthalten die Mails dabei ein infiziertes Word-Dokument, das man herunterladen soll oder einen gefährlichen Link. Als Absender wird dabei stets der korrekte Name angezeigt. Die Empfänger werden dadurch in Sicherheit gewogen, da alles nach einer normalen, persönlichen E-Mail aussieht, und klicken höchstwahrscheinlich auf den gefährlichen Link oder den infizierten Anhang.

Wenn Emotet erst einmal Zugang zu einem Netzwerk hat, kann er sich weiter ausbreiten. Dabei versucht er, mit der Brute-Force-Methode Passwörter zu Konten zu knacken. Andere Verbreitungswege von Emotet waren beispielsweise die EternalBlue-Sicherheitslücke und die DoublePulsar-Schwachstelle bei Windows, durch welche die Installation von Schadsoftware ohne menschliches Handeln möglich war. Im Jahr 2017 konnte der Erpressungstrojaner WannaCry den EternalBlue-Exploit für einen schwerwiegenden Cyberangriff ausnutzen und verheerenden Schaden anrichten.

Wer steckt hinter Emotet?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der Auffassung, dass „die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzten zusätzlich auf weitere Schadsoftware, um ihre eigenen Ziele zu verfolgen. Das BSI ist der Meinung, dass die Motive der Kriminellen finanzieller Natur sind und geht somit von Cyberkriminalität aus, nicht von Spionage.

Auf die Frage, wer dahintersteht, hat wohl niemand eine Antwort. Es gibt verschiedene Gerüchten bezüglich der Ursprungsländer, jedoch gibt es keine seriösen Beweise dafür.

Emotet: So gefährlich ist der Virus

Das US-Heimatschutzministerium kam zu dem Ergebnis, dass sich hinter Emotet eine besonders kostspielige Software mit enormer Zerstörungskraft verbirgt. Die Kosten der Bereinigung werden pro Vorfall auf rund eine Million US-Dollar beziffert. Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), bezeichnet Emotet deshalb als „König der Schadsoftware“.

Emotet ist zweifelsfrei eines der komplexesten und gefährlichsten Schadprogramme der Geschichte. Der Virus ist polymorph, was bedeutet, dass sich sein Code bei jedem Abruf ein wenig verändert. Das erschwert es Antiviren-Softwaren, den Virus zu identifizieren, da viele Antiviren-Programme signaturbasierte Suchen durchführen. Im Februar 2020 entdeckten Sicherheitsforscher von Binary Search, dass Emotet mittlerweile auch WLANs angreift. Ist ein infiziertes Gerät mit einem WLAN verbunden, scannt Emotet alle WLANs, die sich in der Nähe befinden. Mithilfe einer Passwortliste versucht der Virus anschließend, Zugriff auf die Netzwerke zu bekommen und somit weitere Geräte zu infizieren.

Cyberkriminelle nutzen gerne Ängste in der Bevölkerung aus. So verwundert es nicht, dass auch die Angst vor dem Coronavirus, das seit Dezember 2019 weltweit im Umlauf ist, von Emotet ausgenutzt wird. Die Cyberkriminellen hinter dem Trojaner fälschen häufig E-Mails, die angeblich über das Coronavirus informieren und die Bevölkerung aufklären sollen. Falls Sie also eine solche Mail in Ihrem Postfach entdecken, seien Sie besonders vorsichtig mit etwaigen Anhängen oder Links in der Mail!

Wie kann ich mich vor Emotet schützen?

Beim Schutz vor Emotet und anderen Trojanern reicht es nicht aus, sich nur auf Antiviren-Programme zu verlassen. Denn allein den polymorphen Virus zu erkennen, ist nur das erste Problem für Endnutzer. Es gibt schlicht keine Lösung, die einen 100-prozentigen Schutz vor Emotet oder anderen wandelbaren Trojanern bietet. Allein durch organisatorische und technische Maßnahmen kann man das Risiko einer Infektion minimal halten. Diese Vorkehrungen sollten Sie treffen, um sich vor Emotet zu schützen:

  • Bleiben Sie auf dem Laufenden! Informieren Sie sich regelmäßig über weitere Entwicklungen rund um das Thema Emotet. Dabei stehen Ihnen verschiedene Möglichkeiten zur Verfügung, beispielsweise der BSI-Newsletter , unser Newsletter von Kaspersky oder eigene Recherchen.
  • Sicherheitsupdates: Installieren Sie unbedingt von Herstellern bereitgestellte Updates so schnell wie möglich, um mögliche Sicherheitslücken zu schließen. Das betrifft sowohl Betriebssysteme wie Windows und macOS als auch jegliche Anwendungsprogramme, Browser, Browser-Addons, E-Mail-Clients, Office- und PDF-Programme.
  • Antiviren-Software: Installieren Sie unbedingt ein Antiviren-Programm wie Kaspersky Internet Security und lassen Sie es regelmäßig Ihren Computer auf Schwachstellen untersuchen. Damit sind Sie vor neuesten Viren, Spyware usw. bestmöglich geschützt.
  • Laden Sie keine dubiosen Anhänge aus E-Mails herunter und klicken Sie nicht auf verdächtige Links. Wenn Sie sich unsicher sind, ob eine E-Mail gefälscht ist, gehen Sie kein Risiko ein und kontaktieren Sie den Absender! Falls sie bei einer heruntergeladenen Datei aufgefordert werden, das Ausführen eines Makros zu erlauben, machen Sie das auf keinen Fall, sondern löschen die Datei umgehend. Denn so bieten Sie Emotet erst gar keine Chance, auf Ihren Computer zu gelangen.
  • Backups: Sichern Sie regelmäßig Ihre Daten auf einem externen Datenträger. Im Ernstfall einer Infektion haben Sie somit immer ein Backup, auf das Sie zurückgreifen können, und haben nicht alle Daten auf Ihrem PC verloren.
  • Passwörter: Verwenden Sie für sämtliche Zugänge (Online-Banking, E-Mail-Account, Online-Handel) nur starke Passwörter. Also nicht etwa den Namen Ihres ersten Hundes, sondern eine willkürliche Anordnung von Buchstaben, Zahlen und Sonderzeichen. Sie können sich diese entweder selbst ausdenken oder über diverse Programme generieren lassen. Zusätzlich bieten heutzutage sehr viele Programme die Möglichkeit einer Zwei-Faktor-Authentifizierung.
  • Dateiendungen: Lassen Sie sich auf Ihrem Computer Dateiendungen standardmäßig anzeigen. Dadurch können Sie dubiose Dateien wie beispielsweise „Urlaubsfoto123.jpg.exe“ erkennen.

Wie kann ich Emotet entfernen?

Zuallererst gilt eines: geraten Sie nicht in Panik, wenn Sie den Verdacht haben, dass Ihr PC mit Emotet infiziert sein könnte! Informieren Sie ihr Umfeld über die Infektion, denn Ihre Mailkontakte und Geräte, die an Ihr Netzwerk angeschlossen sind, sind ebenfalls potenziell gefährdet.

Als nächstes sollten Sie unbedingt Ihren Rechner isolieren, wenn dieser an ein Netzwerk angeschlossen ist, um das Risiko einer Ausbreitung von Emotet zu verringern. Anschließend sollten Sie alle Zugangsdaten zu Ihren Accounts ändern, also E-Mail-Accounts, Web-Browser etc.

Da sich der Virus Emotet polymorph ist und sich sein Code bei jedem Abruf immer ein wenig verändert, kann ein bereinigter Computer schnell erneut infiziert werden, sobald er mit einem infizierten Netzwerk verbunden ist. Sie müssen also nacheinander alle Computer, die an Ihr Netzwerk angeschlossen sind, reinigen. Verwenden Sie dazu ein Antiviren-Programm. Sie können auch zusätzlich einen Fachmann kontaktieren, wie etwa den Anbieter Ihrer Antiviren-Software.

EmoCheck: Hilft das Tool wirklich gegen Emotet?

Das japanische CERT (Computer Emergency Response Team) hat das Tool EmoCheck veröffentlicht, mit dem man seinen Rechner auf eine Infektion durch Emotet überprüfen kann. Tipp: Nutzen Sie das Tool, um eine mögliche Infektion durch bereits bekannte Emotet-Versionen zu entdecken. Doch Vorsicht! Da der Virus Emotet polymorph ist, kann auch EmoCheck Ihnen keine 100-prozentige Sicherheit garantieren, dass Ihr Rechner nicht infiziert ist. EmoCheck geht über dieü Methode vor, charakteristische Zeichenketten zu erkennen und dadurch vor dem Trojaner zu warnen. Durch die Wandelbarkeit des Virus ist jedoch nicht gewährleistet, dass Ihr Rechner wirklich sauber ist.

Fazit

Der Trojaner Emotet zählt wahrlich bisher zu den gefährlichsten Schadprogrammen in der IT-Geschichte. Betroffen sind von der Gefahr alle – Privatpersonen, Firmen, ja sogar Behörden. Hat sich der Trojaner einmal in ein System geschleust, lädt er andere Schadprogramme nach, die Zugangsdaten ausspähen und Daten verschlüsseln. Oftmals werden die Opfer des Virus mit Lösegeldzahlungen erpresst, um die Daten wiederzubekommen. Leider gibt es keine Lösung, die einen 100-prozentigen Schutz vor einer Infektion durch Emotet bietet. Mit verschiedenen Maßnahmen kann man jedoch das Infektionsrisiko geringhalten. Wenn Sie den Verdacht haben, dass Ihr Rechner mit Emotet infiziert ist, sollten Sie die oben genannten Maßnahmen einleiten, um Ihren Computer von Emotet zu säubern.

Emotet: So schützen Sie sich bestmöglich vor dem Trojaner

Der gefährliche Trojaner Emotet hält weltweit Admins in Atem. Was Sie zu Emotet wissen müssen und wie Sie sich schützen und ihn entfernen können.
Kaspersky Logo