Das Unternehmen Krauss-Maffei hat es getroffen, den Aluminiumhersteller Hydro Norsk auch, und jüngst wurde der Maschinenbauer Pilz zum Opfer: Hacker haben die gesamten Firmendaten verschlüsselt und eine Lösegeldforderung an die Unternehmen geschickt. Tagtäglich werden Unternehmen auf diese Weise erpresst. Laut einer Cybersecurity-Studie des TÜV ist jeder fünfte IT-Sicherheitsvorfall ein Ransomware-Angriff – nur die prominentesten Beispiele kommen in die Schlagzeilen.

Anzeige

Immer häufiger steckt hinter solchen Erpressungsangriffen die Schadsoftware Emotet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Emotet in Verbindung mit Ransomware in seinem aktuellen Lagebericht als eine der größten Bedrohungen für Unternehmen ein. Emotet wird vom BSI sogar als „eine der größten Cyberbedrohungen der Welt“ bezeichnet.

Clemens A. Schulz, Director Desktop Security, Rohde & Schwarz Cybersecurity.Rohde & Schwarz CybersecurityDurch Emotet- und Ransomware-Angriffe entstehen Unternehmen enorme Kosten – auch wenn kein Lösegeld fließt: Ein Großteil der IT-Systeme muss heruntergefahren werden, um eine Verbreitung der Schadsoftware zu vermeiden und die Mitarbeiter müssen eigentlich automatisierte Arbeitsprozesse plötzlich wieder manuell ausüben, was die Geschäftsabläufe enorm verlangsamt. Zudem ist die Website der betroffenen Unternehmen häufig tagelang nicht erreichbar. Dem norwegischen Aluminiumhersteller Hydro Norsk ist auf diese Weise ein Schaden von rund 40 Millionen Euro entstanden.

Was macht Emotet so gefährlich?

Emotet ist ein Türöffner. Ist der Trojaner einmal installiert, können die Hacker völlig ungehindert weitere Schadprogramme nachladen. Deswegen stellen Emotet-Angriffe eine ganz neue Qualität von Cyberverbrechen dar: Einmal eingeschleust, ist das angegriffene Unternehmen verschiedensten Angriffsszenarien ausgeliefert. Professionelle Hacker-Banden können auf diese Weise langfristige Angriffsszenarien planen und angegriffene Rechner zu Bot-Netzen zusammenführen. Mit diesen lassen sich beispielweise DDos-Angriffe ausüben. Dabei werden massenhaft Anfragen an eine Webseite gerichtet, bis deren Service zusammenbricht. Buchungssysteme, Online-Shops und Online-Banken werden auf diese Weise lahmgelegt.

Sehr häufig nutzen Hacker Emotet als Vorbereitung für Ransomware-Angriffe. Mit Hilfe von Emotet lassen sich aber auch Tools nachladen, die einen Fernzugriff auf den Rechner ermöglichen, um Daten auszuspionieren, zu manipulieren oder zu entwenden. Betroffene Unternehmen merken meist zu spät, dass sie Opfer eines solchen Angriffs geworden sind – z.B. dann, wenn interne Daten im Internet auftauchen. Das kann mitunter zu einem immensen Imageschaden und Vertrauensverlust bei den Kunden führen.

Wie gelangt Emotet in das IT-System?

Emotet wird mithilfe gefälschter E-Mails, sogenannter Phishing-E-Mails, auf Unternehmensrechnern eingeschleust. Diese sehen heute so echt aus, dass es nur schwer ist, sie als Fälschungen zu erkennen. Hinter dem Versand stecken professionelle Hacker-Banden, die in regelmäßigen Abständen eine regelrechte Phishing-Flut initiieren. Die Malware wird über eine angehängte Datei eingeschleust. Der Trick: Der Empfänger wird aufgefordert, bestimmte Einstellungen am PC vorzunehmen – bspw. die Makros einer Word-Datei zu aktivieren. Wer dieser Aufforderung nachkommt, lädt – ohne es zu wissen – Emotet auf seinen PC. In seltenen Fällen ist die Schadsoftware bereits in das angehängte Dokument verpflanzt. Einmal angeklickt oder heruntergeladen, ist das System infiziert.

Ein häufiges Angriffsziel sind Personalabteilungen. Denn Bewerbungsschreiben eignen sich besonders gut zum Phishing. Der Grund: Jede Bewerbung ist individuell und somit zunächst nicht auffällig – das machen sich Cyberkriminelle zunutze.

Anzeige

Sobald ein Rechner befallen ist, meldet sich Emotet beim Server des Hackers zurück. Dieser weiß dann, dass der Angriff erfolgreich war und kann weitere Malware einschleusen. Parallel dazu liest Emotet Inhalte aus Outlook-Postfächern des befallenen Systems aus – das sogenannte „Outlook-Harvesting“. Die gesammelten Informationen nutzen die Täter zur weiteren Verbreitung der Schadsoftware. Opfer erhalten bspw. gefälschte Antworten eines bekannten Kontaktes. Das führt dazu, dass der Spam echt wirkt und mit hoher Wahrscheinlichkeit geöffnet wird.