Einführung
Emotet ist ein Banking-Trojaner, polymorph und anhand von Signaturen schwer zu erkennen. Ziel ist es, Daten zu stehlen, einschließlich Benutzerdaten, die in Browsern gespeichert sind oder durch Ausspähen des Internetverkehrs gesammelt werden.Aufgrund seiner Effektivität in Bezug auf Persistenz und Netzwerkverteilung wird Emotet häufig zum Herunterladen anderer Malware verwendet und ist besonders beliebt als Tool zur Verbreitung von Banking-Trojanern wie Qakbot und TrickBot.Kompromittierte Systeme werden regelmäßig mit den Command-and-Control-Servern (C&C) von Emotet kontaktiert, um Updates zu finden, Informationen von kompromittierten Computern zu senden und dateilose Angriffe mit der heruntergeladenen Malware durchzuführen.
Sobald Emotet einen Computer in einem Netzwerk infiziert hat, nutzt es die EternalBlue-Schwachstelle aus, um sich auf weiteren Endpoints mit ungepatchten Systemen zu verbreiten.
Emotet: Wie verbreitet es sich und bleibt persistent?
Ausbreitung
Emotet verbreitet sich normalerweise per E-Mail: durch infizierte Anhänge oder verschleierte URLs.Die E-Mails scheinen aus zuverlässigen Quellen zu stammen, da Emotet die E-Mail-Konten seiner Opfer übernimmt. Dies hilft, andere Benutzer dazu zu bringen, den Trojaner auf ihr System herunterzuladen.
Angesichts der Art und Weise, wie sich Emotet in einem Unternehmensnetzwerk ausbreitet, wird jeder befallene Computer in einem Netzwerk wieder andere infizieren, die beim Beitritt zum Netzwerk noch nicht kompromittiert sind.
Persistenz
Emotet wurde entwickelt, um sicherzustellen, dass es auf dem infizierten System bleibt und aktiv ist, auch wenn das System neu gestartet, oder die Sitzung geschlossen wird. Zu diesem Zweck erstellt es:• Kopien von sich selbst.• Registrierungsschlüssel mit zufälligen Namen.• Dienste, um aktiv zu bleiben.
Schaden
Emotet ist nicht nur wegen seiner Fähigkeit so gefährlich, sich durch die Ausnutzung der EternalBlue-Schwachstelle zu verbreiten. Auch, weil es andere Malware herunterlädt, installiert und so die Tür für jede Art von Trojanern, Spyware oder sogar Ransomware offen lässt.Mögliche Folgen sind unter anderem:• Diebstahl von personenbezogenen Daten (PII).• Veröffentlichen von finanziellen und vertraulichen Informationen, die für Erpressungen verwendet werden können.• Diebstahl von Anmeldeinformationen, wodurch andere Konten gefährdet werden.• Lange Bereinigungsmaßnahmen für Netzwerkadministratoren• Produktivitätsverlust von Mitarbeitern, deren Endpoints aus dem Netzwerk isoliert werden müssen.
Adaptive Defense
Sich vor der Emotet-Verbreitung zu schützen ist nicht besonders schwierig, da es sich über bösartigen Spam verbreitet. Dennoch können Benutzer in ihrer Organisation leicht zu Opfern des Phishings und des Social Engineering werden — die zwei meist genutzten Techniken.Was diesen Trojaner wirklich gefährlich macht, ist seine Fähigkeit, seinen eigenen Code automatisch zu ändern, so dass er weit schwieriger für ein herkömmliches Antivirenprogramm ist, es zu erkennen.Glücklicherweise sind die durch Panda geschützten Unternehmen gegen diesen Trojaner ebenfalls geschützt, sogar wenn Mitarbeiter die E-Mail öffnen und die Datei herunterladen.Darüber hinaus sind durch Panda Adaptive Defense und Panda Adaptive Defense 360 Unternehmen gegen bekannte oder unbekannte Trojaner- oder Malware-Varianten, die die EternalBlue-Schwachstelle ausnutzen, geschützt.
Panda Adaptive Defense 360 ist zweifellos der beste präventive Schutz gegen jede Art von bekannter und vor allem unbekannter Malware, da er deren Ausführung verhindert.
Reaktion auf Vorfälle und Problembehebungen
Bereinigung
Die Reinigung eines mit Emotet infizierten Netzwerks erfor-dert, dass einige wichtige Schritte so schnell wie möglich durchgeführt werden:Panda Adaptive Defense 360 bietet Ihnen nicht nur Schutz vor Emotet und all seinen Varianten, sondern auch andere Tools, die die Reaktion auf einen potenziellen Vorfall erleichtern und beschleunigen 1:• Automatisierte Korrektur, die alle Spuren von Emotet zerstört.• Für jede Erkennung können Sie auf die Zeitachse der während des Vorfalls durchgeführten Aktionen zugreifen. Mit dieser Zeitachse können Sie feststellen, wo und wann der Angriff stattgefunden hat, wie er erfolgt ist und was die Malware oder der Angreifer getan hat, während sie an Endpoints aktiv war.