Aktuell warnt das BSI vor einer erneuten, massenhaften Emotet Kampagne, die bereits mehrere hundert Opfer gefordert hat. Das betrifft sowohl Unternehmen, als auch Privatanwender. Im Zuge dieser Warnung häufen sich jetzt Medienberichte, in denen zusätzlich noch behauptet wird, dass Virenscanner machtlos seien. Das schürt unnötige Verunsicherung. Ein paar einfache Hinweise können das Schutzniveau erheblich erhöhen. ESET selbst hat Emotet schon länger im Visier und schützt seine Nutzer bestmöglich. Eine entsprechende Linksammlung unserer bisherigen Veröffentlichungen zum Thema findet sich am Ende des Artikels.
Tipp 1 – E-Mails absichern
Das Haupteinfallstor von Emotet sind gefälschte E-Mails. Perfiderweise kann Emotet auf erfolgreich infizierten Rechnern vorhandene E-Mail-Kommunikation auslesen und manipulieren. Anschließend sendet der Schädling eine vermeintliche Antwort, die sich auf vorherige Gespräche bezieht und fügt ein manipuliertes Office-Dokument mit Makros an. Der Empfänger erhält also scheinbar von einem Bekannten eine Mail, mit dem Hinweis, dass zur korrekten Darstellung des Anhangs Makros aktiviert werden müssen. Diese enthalten Schadcode, der den PC des Empfängers ebenfalls infiziert und weiter sein Unwesen treibt. Daher sollte auf den PC immer eine Schutzlösung installiert sein, die E-Mails und ihre Anhänge entsprechend überprüfen und gegebenenfalls blockieren kann. Der Windows Defender kann das nicht!
E-Mail-Programme und -Server lassen sich zudem oft auch so konfigurieren, dass ausführbare Dateianhänge, wie .com, .exe, .bat, .scr uvm. Automatisch geblockt werden. So hält man nicht nur Emotet, sondern eine ganze Reihe an anderen E-Mail-Attacken, fern.
Tipp 2 – Makros deaktivieren/deaktiviert lassen
Makros sind kleine Scripte, die als aktive Inhalte in Office-Dokumente eingebettet werden können. Das gilt vor allem für die Office Produkte von Microsoft: Word und Excel. In neueren Versionen der Programme sind Makros standardmäßig deaktiviert, in älteren Versionen dagegen nicht. Fordert jedoch ein Dokument den Nutzer auf, „Inhalte zu aktivieren“, dann sollte man misstrauisch werden und genauer hinterfragen, warum etwa eine Rechnung oder Bewerbung aktive Inhalte, also Makros benötigt. In der Regel sollten solche Dokumente zudem nicht als editierbare Formate, sondern als Bild- oder PDF-Datei verschickt werden. Zusätzlich sollte eine Schutzlösung in Form einer guten Internet Security Suite eingesetzt werden, die Scripte, wie Makros oder JavaScript und PowerShell auf Schadcode überprüfen kann.
Tipp 3 – Alternatives Office verwenden
Wer einerseits den stolzen Preis der Microsoft Office Suite scheut und andererseits keine ausgefallenen, Microsoft-spezifischen Zusatztools o.ä. benötigt, für den kann eine Office-Alternative sinnvoll sein. So gibt es unter anderem auch für den Privatgebrauch kostenfreie „Open Source“ Lösungen, wie OpenOffice oder LibreOffice. Diese sind in der Lage, Microsoft Formate öffnen und bearbeiten zu können, eventuell schädliche Makros für Microsoft Office laufen dagegen nicht und können somit kein Schadwerk verrichten. Ein 100 prozentiger Schutz ist das allerdings auch nicht, da Angreifer in solchen Fällen dann zum Beispiel Links zu schädlichen Webseiten in die Dokumente einsetzen, falls das Makro nicht starten kann. Diese Links lesen sich dann in etwa so: „Falls das Dokument nicht richtig dargestellt werden kann, klicken Sie bitte hier für eine Webansicht“, sollten aber keinesfalls angeklickt werden!
Tipp 4 – JavaScript im PDF Reader deaktivieren
Cybergangster sind keine dummen Menschen und reagieren auf Veränderungen in ihrem „Markt“ recht schnell. Weil Office-Anhänge und Makros geblockt werden, Webseiten gefiltert werden und vieles mehr, sehen wir teilweise erste Versuche, den Schadcode in PDF-Dateien zu verstecken. Hierbei werden aktive Inhalte als JavaScript in die Dokumente eingebettet. Leider ist im Adobe Reader JS standardmäßig aktiv. Sie sollten also nach der Installation und leider auch nach jedem Update in den Voreinstellungen (Strg + K) das Häkchen bei „JavaScript“ entfernen.
Tipp 5 – Updates, Updates, Updates
Wie immer gilt: Sobald Updates für das Betriebssystem und die verwendeten Softwares existieren, sollten diese zeitnah oder wo es möglich ist automatisch eingespielt werden. Schädlinge aller Art nutzen oft bekannte Lücken und Schwachstellen für erfolgreiche Infektionen aus.
Tipp 6 – zuverlässige Schutzsoftware verwenden
ESET verfolgt Emotet und ähnliche Kampagnen schon über einen längeren Zeitraum. Dies erlaubt uns, Downloader, schädliche Scripte, Mails und Links frühzeitig zu erkennen, bevor die eigentliche Emotet-Infektion stattfindet. Zur bestmöglichen Erkennung von Emotet & Co. sollte eine Internet Security Suite eingesetzt werden, die in der Lage ist, zusätzlich zum üblichen Datei- und Verhaltensschutz, E-Mails und deren Inhalte und Anhänge, Webseiten, sowie den Arbeitsspeicher (RAM) des Systems in Echtzeit zu überprüfen. Der RAM ist deswegen wichtig, weil moderne Malware verstärkt als gepackte und verschlüsselte Datei auf den Rechner oder per Script direkt in den Arbeitsspeicher des Systems gelangt. Man spricht bei Letzterem manchmal von „dateilosen Attacken“.
Fazit
Wie immer ist Panik unangebracht, weil sie auch immer ein schlechter Berater ist. Vorsorgemaßnahmen und regelmäßiges Informieren können die Hürden für erfolgreiche Angriffe hoch genug legen, damit diese nicht mehr lukrativ sind. Zudem vermeidet man so, ungewollt „Beifang“ von größeren Kampagnen zu werden.
Abschließend hier noch der Link zu unseren bisherigen Veröffentlichungen zu Emotet & Co.