Einer internationalen Ermittlergruppe ist es gelungen, eine der gefährlichsten Malware der Welt zu zerschlagen. Experten von NoSpamProxy warnen allerdings davor, sich nun in trügerischer Sicherheit zu wähnen.
Paderborn. Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, warnt angesichts der zerschlagenen Emotet-Infrastruktur vor allzu viel Gelassenheit.
NoSpamProxy warnt vor Nachlässigkeit beim E-Mail-Schutz nach der Zerschlagung von Emotet.
Es war die Nachricht in der vergangenen Woche, die die IT-Welt zumindest einmal kurz innehalten ließ: in einer gemeinsamen Aktion haben die Strafverfolgungsbehörden aus Deutschland, den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware Emotet zerschlagen. Emotet galt bislang als eine der gefährlichsten – wenn nicht die gefährlichste – Malware der Welt und wurde meist dazu verwendet, Lösegeld von den Opfern zu erpressen.
Neben zahllosen Privatpersonen zählten vor allem Unternehmen, Gesundheitseinrichtungen, Behörden und andere öffentliche Einrichtungen wie Gerichte oder Universitäten zu den Opfern.
Emotet ist ein Oberbegriff für Schadprogramme, die IT-Systeme mittels besonders authentisch aussehender Spam-E-Mails mit E-Mail-Anhängen wie beispielsweise verseuchten Word-Dokumenten mit Trojanern infizieren. Die E-Mails konnten deshalb so authentisch aussehen, da bereits im Vorfeld der Infizierung E-Mail-Inhalte und Kontaktdaten der Opfer ausgelesen wurden und der Inhalt der verseuchten E-Mail beispielsweise einer vorangegangenen Kommunikation angepasst wurde. Neben der Infizierung des Rechners lag die Hauptaufgabe von Emotet darin, gegen Bezahlung weitere Schadsoftware von anderen Cyberkriminellen nachzuladen, beispielsweise zur Manipulation des Online-Bankings, zum Ausspähen gespeicherter Passwörter oder zur Verschlüsselung des Systems für Erpressungen. Alleine in Deutschland ist nach Angaben des Bundeskriminalamtes (BKA) durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.
Laut einer Pressemitteilung des BKA ist es den Ermittlern durch die konzertierte Aktion jetzt nicht nur gelungen, den Zugriff der Täter auf die Emotet-Infrastruktur zu unterbinden, sondern bei einem der mutmaßlichen Betreiber in der Ukraine auch die Kontrolle über die Emotet-Infrastruktur zu übernehmen. Dadurch sei es möglich geworden, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen.
Die Experten von Net at Work warnen nun allerdings davor, sich angesichts dieses Erfolgs in trügerischer Sicherheit zu wähnen. Denn: das Emotet-Geschäftsmodell „Malware-Transport-as-a-Servic
Die durch Emotet hinterlassene Lücke stellt für andere Kriminelle nun eine gute Gelegenheit dar, ihren Einfluss zu vergrößern und das Geschäft der Emotet-Macher zu übernehmen. Nachfolger für Emotet gibt es mit Dridex, Ragnar Locker, Dharma und anderer Schadsoftware genügend.
Nach wie vor ist es neben der Sensibilisierung für mögliche Cyber-Gefahren also unabdingbar, einen leistungsfähigen Spam- und Malwarefilter einzusetzen, der Gefahren frühzeitig erkennt und infizierte E-Mails blockiert.
Die modulare Secure-Gateway-Lösung NoSpamProxy bietet dafür wirkungsvolle Schutzmaßnahmen wie
• URL Safeguard: ermöglicht das Umschreiben von URLs in eingehenden E-Mails. Die Umschreibung erfolgt nur dann, wenn eine URL während des Empfangs noch nicht sicher klassifiziert und die E-Mail ggfs. abgewiesen werden kann. Wenn der Nutzer die umgeschriebene URL anklickt, prüft URL Safeguard erneut, ob sie zum Zeitpunkt des Klicks zu einem Schadziel führt. Sieht URL Safeguard die URL als gefährlich an, wird der Zugriff blockiert.
• Cloudbasierte Sandbox-Array-Technologie: ermöglicht die Analyse von potenziell gefährlichen Inhalten in einer abgeschirmten Umgebung. Im nächsten Schritt werden gefährliche Dateien und URLs sofort blockiert.
• Inhaltsfilter: ermöglicht, bestimmte Dateitypen, wie z.B. Word- oder Excel-Dateien mit Makros zu sperren. Des Weiteren können mit der Funktion Content Disarm and Reconstruction (CDR) alle Word-, Excel und PDF-Dateien in ungefährliche PDF-Dateien verwandelt werden. Dabei ist eine Abweisung der E-Mail nicht notwendig.
• Reputationsfilter: prüft sehr effektiv die SPF-, DKIM- und DMARC-Einträge und damit die Echtheit des Absenders der Mail. Falls in den Prüfungen die Echtheit des Absenders nicht nachgewiesen werden konnte, wird die E-Mail abgewiesen.
„Natürlich ist die Zerschlagung der Emotet-Infrastruktur ein großartiger Erfolg“, sagt Stefan Cink, Business Unit Manager NoSpamProxy und E-Mail-Sicherheitsexperte bei Net at Work. „Wenn wir jedoch die Entwicklung von Schadsoftware beobachten, müssen wir leider feststellen, dass die nächsten Angreifer bereits in den Startlöchern stehen. Deshalb ist es nach wie vor immens wichtig, eine zuverlässige Lösung für den E-Mail-Schutz zu haben.“
Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy:
Interessenten können NoSpamProxy mit telefonischer Unterstützung kostenlos testen:
https://www.nospamproxy.de/de/produkt/testversion
