Emotet kommt allem Anschein nach zurück. Das BSI veröffentlichte eine Cybersicherheits-Warnung wegen Anzeichen auf ein neues Emotet-Botnetz. Mit einem Update vom 02.12.2021 wird erklärt, dass neben der bekannten Kombination aus Emotet, Trickbot und Ransomware Ryuk ein neues Bündel Trickbot, Emotet und Conti entdeckt wurde. Mit der Zerschlagung des ursprünglichen Emotet-Botnetzes (Emotet-Takedown) durch internationale Ermittler konnte die Karriere von Emotet als Schädling also nicht dauerhaft beendet werden. Und jetzt?
Pakete aus Trojaner, Verteilnetzwerk und Ransomware – keine Saisonware
Natürlich ist die Rückkehr von Emotet in abgewandelter Weise eine ernste Sache. Der in der Vergangenheit mithilfe von Emotet angerichtete Schaden war so groß, dass dieser Schädling besondere Aufmerksamkeit und besonders dramatische Titel bekam.
Vom „König der Schadsoftware“ war die Rede. So etwas mag hilfreich sein, damit die Aufmerksamkeit für das Thema Schadsoftware aller Art nicht einschläft. Man sollte sich jedoch klarmachen: Derartige Bedrohungen und Angriffsformen sind ein ständiger Begleiter im Alltag geworden. Das Comeback von Emotet ist da letztlich nur eine unangenehme Schlagzeile mehr.
Es handelt sich nicht um eine Art Knecht Ruprecht, der viele Monate kein Thema ist, um dann wieder anzutreten und diejenigen zu bestrafen, die ihre Hausaufgaben nicht gemacht haben. Eher sind Emotet u.ä. eine Art digitaler Enkeltrick: vielleicht besonders bösartig und irgendwann in der aktuellen Form nicht mehr so wirksam wie vom Angreifer gewünscht – dann wird eine Abwandlung versucht. Diese ist womöglich noch hinterhältiger gestaltet und nutzt neue Verbündete oder neue Logistik, wie im aktuellen Fall.
Trau, schau, wem – kleine Umwege können sicherer zum Ziel führen
Notwendige technische Vorkehrungen zur Prävention gegen digitale Schädlinge werden immer wieder erläutert und zu Recht angemahnt. Wichtig sind ebenfalls Vorkehrungen für zügige Reaktion und erfolgreiche Wiederherstellung, wenn es einen doch erwischt hat. Dazu gibt es an anderer Stelle mehr von ComConsult. Den aktuellen Fall kann und sollte man allerdings zum Anlass nehmen, noch einmal über das eigene Verhalten, auch bei Zeitdruck, nachzudenken.
Oft kann man mit ein bisschen Komfortverzicht typische Fallen umgehen:
- Muss ich in einer Nachricht zum Status einer Paketlieferung auf einen eingebetteten Link oder gar eine Anlage klicken? Man kann auch ein Portal von Hand aufrufen, über das sich der Status von Sendungen prüfen lässt. Ein Link in einer noch so gut gemachten Fake-Mail, der zu einer schädlich präparierten Seite führt, wird so gar nicht erst genutzt.
- Viele Anbieter, Partner und Dienstleister bieten geschützte elektronische Briefkästen, die man nur aktivieren muss – und schon entfallen Mails mit Dateianlagen. Kommt dann doch eine solche Mail, ist diese verdächtig und kann gelöscht werden, und wenn sie noch so echt aussieht.
- Den tatsächlichen Absender einer Mail zu kontrollieren ist auch kein Zauberkunststück. Wer das tut, hat oft schon eine scheinbar von einer bekannten externen Quelle kommende Fake-Mail entlarvt und löscht sie, statt den Anhang zu öffnen.
- Besonders im Berufsalltag kann man sich möglichst konsequent angewöhnen, Dateien an geschützter Stelle bereitzustellen und per E-Mail nur einen Verweis darauf zu senden. Wenn dies das übliche Vorgehen ist, werden scheinbar vertrauenswürdige Mails mit Dateianlagen gleich ein bisschen verdächtiger.
Sicher sind solche Beispiele keine „Life Hacks“, die für Aufsehen in Sozialen Medien taugen. Wer sich jedoch in solcher Form selbst auf die Finger schaut und auch in der hektischen Vorweihnachtszeit nicht gleich alles anklickt, was reinkommt, schlägt Emotet und seinen Kumpanen womöglich manches Schnippchen.
Fazit
Auch so liest man BSI- und Pressewarnungen richtig: Innehalten, prüfen, ob man nicht zu sorglos oder hektisch geworden ist, und naheliegende Möglichkeiten nutzen, um nicht unnötig in Fallen zu gehen.
Mögen die Überraschungen der Saison ausschließlich unter dem Weihnachtsbaum liegen!
Verweise
https://www.comconsult.com/ransomware-und-backup-worauf-kommt-es-an/
https://www.comconsult.com/angriffe-auf-infrastrukturen-nehmen-zu/