+49 (0) 8171/405-0 info@proSoft.de

Emotet-Trojaner greift Heise-Netz an

13.
Jun
2019
Cyberattacke, Emotet-Trojaner, Malware, Schadsoftware

Der Heise-Verlag aus Hannover, selbst führend, wenn es um das Aufdecken von Schwachstellen in IT-Systemen geht, wurde dieser Tage durch den erfolgreichen Angriff eines Trojaners massiv geschädigt. Absolut vorbildlich und respektabel ist der Umgang des renommierten Verlages und IT-Branchenportals mit der eigenen Datenpanne. Hier die wichtigsten Fakten:

Chronologie eines Angriffs

Wie Heise Online auf seinem Portal ganz offen berichtet, wurde der Verlag Heinz Heise und die Heise Gruppe bereits am 13. Mai 2019 von dem Trojaner Emotet angegriffen. (Heise Medien, zu denen c’t und heise online gehören, waren nicht betroffen). Der sofort nach Erkennung eingeleitete harte Shutdown, also das komplette kappen des Internet-Zugangs, konnte die Verschlüsselung wichtiger Daten gerade noch verhindern. Der Angriff kam wie so häufig über eine E-Mail mit Anhang von einem vermeintlichen aber dem Namen nach bekannten Geschäftspartner. Das Öffnen der Datei und die danach durchgeführte Aktion des Anwenders nach einer gefälschten Fehlermeldung startete den Trojaner. Zuerst äußerste sich das nur durch Alarmmeldungen der eingesetzten AV-Lösungen hier und dort. Erst als am Nachmittag des gleichen Tages der Log-Auswertung der Firewall ungewöhnlich häufige Verbindungen aus dem Heise Netz z.B. über TCP-Port 449 zu bekannten Emotet Servern auffielen, kam man dem wahren Grund der Probleme näher.

Heise zog daraufhin Forensiker und Incident-Response Spezialisten hinzu um a) den Betrieb ohne neues Risiko teilweise wieder aufzunehmen und b) das Windows-Netz der befallenen Bereiche wieder neu aufzusetzen. Allein dafür sind Heise laut eigenen Aussagen Kosten in Höhe von ca. 50.000 € entstanden. Wie Heise das auf seinem Portal beschreibt, handelt es sich hierbei nicht um hochgerechnete Zahlen wie sie häufig in Risikobewertungen auftauchen, sondern um konkret entstandene Kosten. Die Gesamtkosten für Ausfall von Produktivität, zusätzliche Überstunden sowie Umsatzausfälle schätzt Heise um einen weiteren 5-stelligen Betrag höher.

Wir finden es bemerkenswert wie offen und ehrlich Heise mit der Attacke und den Folgen umgeht. Eine Vertuschung der Vorfälle bei Heise wäre tatsächlich unrühmlich gewesen, meldet doch Heise selbst täglich neue Sicherheitslücken bei Herstellern und Angriffe auf Unternehmen. 

Lernen aus den Fehlern

Die Lehren aus dem Incident zieht Heise und öffentlich und lädt zu einem Live-Webinar am 3. Juli 2019 ein. Hier erfahren Sie mehr über gestaffelte Verteidigungskonzepte, Design-Probleme bei Windows und Active Directory und Best Practices gegen Angriffe dieser Art. Heise führt dieses Webinar zusammen mit Security-Spezialisten durch. Wir gehen davon aus, dass die veranschlagten Kosten für das Webinar kein Deckungsbeitrag für die bei Heise entstandenen Kosten sind, sondern das Geld wert sind. 

Was macht Emotet so gefährlich?

Angriffe über die Schadsoftware Emotet sind gerade en vogue. Emotet ernährt und verbreitet sich über Kontakte, die bei infizierten Systemen gespeichert sind. Damit ist es Tätern möglich, reale E-Mail Absendernamen vorzutäuschen mit denen der E-Mail Empfänger tatsächlich erst kürzlich Kontakt hatte. Diese E-Mails haben immer einen Anhang bzw. einen Link. Durch die hohe Authentizität der gesamten E-Mail ist die Hemmschwelle des Empfängers gering. Ein einziger Klick genügt und Emotet lädt entsprechende Schadsoftware über eigene Server nach. Die Folgen sind Datenverlust, Kontrolle des Netzwerks, Produktionsausfälle und Verlust von Zugangsdaten.

 

FAZIT: Die nachfolgend aufgeführten Empfehlungen des BSI sind nicht neu. Beherzigen Sie diese IT-Security Basics, haben Sie einen guten Schutz und Ihre Hausaufgaben diesbezüglich grundsätzlich erledigt. Vergessen Sie nicht Ihre Mitarbeiter regelmäßig über Vorsichtsmaßnahmen und aktuelle Gefahren zu informieren.

Das BSI rät …

  • Betriebssysteme und Applikationen durch Patches und Sicherheitsupdates immer aktuell zu halten
  • Anti-Viren Software stets aktualisieren
  • Regelmäßige Backups (inkl. Datenverschlüsselung und Ransomware-Zugriffsschutz (Anm. der Redaktion))
  • Vorsicht bei verdächtigen E-Mails mit Anhängen. Speziell Anhänge in Form von Office Dokumenten sind riskant
  • Rufen Sie bei Verdacht und Im Zweifel lieber den Absender an, bevor Sie unbekannte Anhänge öffnen
Minor Release bei NetSupport DNA. IT-Asset Management / ITAM mit neuen Funktionen https://t.co/ebeqIVs5fJ
Forsa-Umfrage: 51 % der Befragten haben Sorge, dass Cyberangriffe zu Ausfällen bei kritischen Infrastrukturen führen. Klimawandel und Ukraine-Krieg sind die größten Sorgen der Deutschen. https://t.co/acuRXjLViJ https://t.co/Rf8qY3KUjv
Wenn IT-Security an Grenzen stößt: UEFI-BIOS teilweise mit Sicherheitslücken. Schwachstellen auch im TPM Firmware-Update https://t.co/4IMqUspl09 #BIOS #Firmware #TPM #Lenovo https://t.co/JFpAbAQKce
IT-Security-Experte #ProSoft überzeugt mit Partner #OPSWAT obere Bundesbehörde und gewinnt Ausschreibung https://t.co/9HWDLlTJjN https://t.co/JW0yAIWqwL
Durchschnittlich 277 Tage dauert es laut einer IBM Studie, bis IT-Angriff erkannt wird. https://t.co/xSNdgOOZNY https://t.co/cquotQRatV
ProSoft gewinnt Ausschreibung zur Implementierung eines Cybersicherheits-Pakets im öffentlichen Sektor https://t.co/GeQGtNDeMM #Pressemitteilung
Datenschutz-Folgenabschätzung richtig durchführen: So gehts https://t.co/FWz9jovkeI #DSGVO https://t.co/V9LEreyNsg
Erfolgreicher #ransomeware Angriff auf #mediamarkt Schaden 100 Millionen US $ https://t.co/K6LNm11zlU
Root-Lücke in F5 BIG-IP Appliances geschlossen https://t.co/hfajFN1A4L #F5 https://t.co/7fzK6BlXqL
Mobilfunk Netzausfälle in ganz Deutschland. Alle Provider betroffen. https://t.co/29N1r5pqsx
Mega Netzausfall bei fast allen Mobilfunk Anbietern https://t.co/29N1r5pYi5
#Phishing: MFA-Fatigue-Attacken ermüdet den Anwender und hebelt dadurch Mehrfaktor-Authentifizierung aus. MFA bleibt sicher, der Anwender nicht https://t.co/LfCwadP4Hu https://t.co/1uQ15sLNo5
@NetSupportNSM: For additional security, #NetSupportManager uses four levels of #Encryption:
#SmartCard support
#Remote login support
•Central logging of all #Connectivity and actions
•Full integration with #ActiveDirectory.
Try for free https://t.co/Woluh4JoWu https://t.co/5NOK5iLB2W
#backdoor Angriffe mit #DTrack auf 2 Chemie-Unternehmen identifiziert https://t.co/iWo3Am4g9C #Lazarus https://t.co/IodpAgu2A1
@heisec: Sicherheitsupdates: Angreifer könnten Firefox und Thunderbird crashen lassen https://t.co/FXWahu4hiG #Firefox107 #Patches
Gottenheimer Gemeindehomepage geht wegen Viren vom Netz https://t.co/KfZtUqlVtg https://t.co/NZzsCCFmVq
#BSI Lagebericht 2022 zur IT-Sicherheit in Deutschland. Die wichtigsten Fakten daraus finden Sie im ProBlog https://t.co/SInIguwAma https://t.co/9HSLVCKmmP
Wie Sie eine Zero-Trust Strtegie in Ihrer Organisation umsetzen. https://t.co/CNPUWuQ2Yj #ZeroTrust https://t.co/svYSybGL4r

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This