Einführung

Emotet ist ein Banking-Trojaner, polymorph und anhand von Signaturen schwer zu erkennen. Ziel ist es, Daten zu stehlen, einschließlich Benutzerdaten, die in Browsern gespeichert sind oder durch Ausspähen des Internetverkehrs gesammelt werden.Aufgrund seiner Effektivität in Bezug auf Persistenz und Netzwerkverteilung wird Emotet häufig zum Herunterladen anderer Malware verwendet und ist besonders beliebt als Tool zur Verbreitung von Banking-Trojanern wie Qakbot und TrickBot.Kompromittierte Systeme werden regelmäßig mit den Command-and-Control-Servern (C&C) von Emotet kontaktiert, um Updates zu finden, Informationen von kompromittierten Computern zu senden und dateilose Angriffe mit der heruntergeladenen Malware durchzuführen.

Sobald Emotet einen Computer in einem Netzwerk infiziert hat, nutzt es die EternalBlue-Schwachstelle aus, um sich auf weiteren Endpoints mit ungepatchten Systemen zu verbreiten.

Emotet: Wie verbreitet es sich und bleibt persistent?

Ausbreitung

Emotet verbreitet sich normalerweise per E-Mail: durch infizierte Anhänge oder verschleierte URLs.Die E-Mails scheinen aus zuverlässigen Quellen zu stammen, da Emotet die E-Mail-Konten seiner Opfer übernimmt. Dies hilft, andere Benutzer dazu zu bringen, den Trojaner auf ihr System herunterzuladen.

Angesichts der Art und Weise, wie sich Emotet in einem Unternehmensnetzwerk ausbreitet, wird jeder befallene Computer in einem Netzwerk wieder andere infizieren, die beim Beitritt zum Netzwerk noch nicht kompromittiert sind.

Persistenz

Emotet wurde entwickelt, um sicherzustellen, dass es auf dem infizierten System bleibt und aktiv ist, auch wenn das System neu gestartet, oder die Sitzung geschlossen wird. Zu diesem Zweck erstellt es:• Kopien von sich selbst.• Registrierungsschlüssel mit zufälligen Namen.• Dienste, um aktiv zu bleiben.

Schaden

Emotet ist nicht nur wegen seiner Fähigkeit so gefährlich, sich durch die Ausnutzung der EternalBlue-Schwachstelle zu verbreiten. Auch, weil es andere Malware herunterlädt, installiert und so die Tür für jede Art von Trojanern, Spyware oder sogar Ransomware offen lässt.Mögliche Folgen sind unter anderem:• Diebstahl von personenbezogenen Daten (PII).• Veröffentlichen von finanziellen und vertraulichen Informationen, die für Erpressungen verwendet werden können.• Diebstahl von Anmeldeinformationen, wodurch andere Konten gefährdet werden.• Lange Bereinigungsmaßnahmen für Netzwerkadministratoren• Produktivitätsverlust von Mitarbeitern, deren Endpoints aus dem Netzwerk isoliert werden müssen.

Adaptive Defense

Sich vor der Emotet-Verbreitung zu schützen ist nicht besonders schwierig, da es sich über bösartigen Spam verbreitet. Dennoch können Benutzer in ihrer Organisation leicht zu Opfern des Phishings und des Social Engineering werden — die zwei meist genutzten Techniken.Was diesen Trojaner wirklich gefährlich macht, ist seine Fähigkeit, seinen eigenen Code automatisch zu ändern, so dass er weit schwieriger für ein herkömmliches Antivirenprogramm ist, es zu erkennen.Glücklicherweise sind die durch Panda geschützten Unternehmen gegen diesen Trojaner ebenfalls geschützt, sogar wenn Mitarbeiter die E-Mail öffnen und die Datei herunterladen.Darüber hinaus sind durch Panda Adaptive Defense und Panda Adaptive Defense 360 Unternehmen gegen bekannte oder unbekannte Trojaner- oder Malware-Varianten, die die EternalBlue-Schwachstelle ausnutzen, geschützt.

Panda Adaptive Defense 360 ist zweifellos der beste präventive Schutz gegen jede Art von bekannter und vor allem unbekannter Malware, da er deren Ausführung verhindert.

Reaktion auf Vorfälle und Problembehebungen

Bereinigung

Die Reinigung eines mit Emotet infizierten Netzwerks erfor-dert, dass einige wichtige Schritte so schnell wie möglich durchgeführt werden:Panda Adaptive Defense 360 bietet Ihnen nicht nur Schutz vor Emotet und all seinen Varianten, sondern auch andere Tools, die die Reaktion auf einen potenziellen Vorfall erleichtern und beschleunigen 1:• Automatisierte Korrektur, die alle Spuren von Emotet zerstört.• Für jede Erkennung können Sie auf die Zeitachse der während des Vorfalls durchgeführten Aktionen zugreifen. Mit dieser Zeitachse können Sie feststellen, wo und wann der Angriff stattgefunden hat, wie er erfolgt ist und was die Malware oder der Angreifer getan hat, während sie an Endpoints aktiv war.

1. .Identifizieren Sie die von Emotet betroffenen Computer.
2. Beseitigen Sie bösartige ausführbare Dateien und setzen Sie Systemänderungen zurück.
3. Finden Sie die Liste der Computer, die für EternalBlue anfällig sind, heraus (oder fordern Sie diese vom IT-Team an).
4. Isolieren Sie gefährdete Computer.Computer wieder mit dem Netzwerk verbinden.
5. Die Umsetzung dieser Schritte ohne die entsprechenden Werkzeuge, automatisiert und in die Sicherheitslösung integriert, ist ein risikoreiches und langwieriges Verfahren, das sogar Monate dauern kann. Während dieser Zeit läuft ein Unternehmen ernsthaft Gefahr, Opfer dieses oder eines anderen Cyberangriffs zu werden.