„Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren.“ erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer aktuellen Warnung.

Derzeit werden verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners enden, beim BSI registriert.

In einem ersten Schritt werden dabei meist breit angelegte Dynamit-Phishing-Kampagnen, wie die von Emotet, gestartetm um sich Zugang zum Netz zu verschaffen. Bereits seit Herbst vorigen Jahres sammelt Emotet auf jedem infizierten System die dort gespeicherten Outlook-Mails ein.

firstbyte digital consulting e.K. hat früher mehrfach vor Emotet gewarnt: Infizierte E-Mails kommen scheinbar von Kollegen, Kunden, Lieferanten oder Bewerbern – und bringen erhebliche Gefahr für die Datensicherheit und den Datenschutz Ihres Unternehmens mit sich.

Emotet-Screenshot

Emotet tut alles, um seine Dynamit-Phishing-Mails möglichst echt aussehen zu lassen (Bild: CERT-Bund/BSI)

Bisher nutzte Emotet die E-Mails nur, um plausible Absender und Empfänger für weitere Phishing-Mails zu erzeugen, diese in einer Datenbank zu speichern und nach weiteren Absender-Empfänger-Realationen zu suchen. Doch jetzt nutzt Emotet den tatsächlichen Inhalt der gestohlenen Mails, um dieses Vorgehen noch weiter zu perfektionieren – genannt Dynamit Phishing.

Von dort breiten sich die Angreifer systematisch weiter aus. Häufig sehe man es auch, dass etwa nach einem Einbruch bei einem IT-Dienstleister dessen Kunden attackiert werden. Im nächsten Schritt werden teilweise Backups lokalisiert und gelöscht und selektiv kritische Systeme manuell mit Ransomware infiziert. Diese wird dann zeitgleich auf allen Systemen gestartet.

Laut BSI handelt es sich um „existenzbedrohende Datenverluste“, eintreffende Lösegeldforderungen liegen deutlich höher als bei herkömmlichen Ransomware-Infektionen. Die Erpresser orientieren sich dabei nach dem vermuteten Wert der Daten für den Betrieb und an dessen finanziellen Möglichkeiten. Vereinzelt wurden mit den Erpressern individuelle Summen verhandelt.

Wissen schützt!

Vor allem kleinste, kleinere und mittelständische Unternehmen sowie Vereine sind bisher nicht oder völlig unzureichend auf diese neuartige Bedrohung vorbereitet. Wissen schützt: nutzen Sie individuell zugeschnittene Schulungen von firstbyte digital consulting e.K., um Ihre Mitarbeiter auf den neuesten Stand zu bringen. Unsere Schulungen, Sicherheitschecks und Seminare werden mit einem staatlichen Zuschuss von 50 bis 80% gefördert!