+49 (0) 8171/405-0 info@proSoft.de

Emotet-Trojaner greift Heise-Netz an

13.
Jun
2019
Cyberattacke, Emotet-Trojaner, Malware, Schadsoftware

Der Heise-Verlag aus Hannover, selbst führend, wenn es um das Aufdecken von Schwachstellen in IT-Systemen geht, wurde dieser Tage durch den erfolgreichen Angriff eines Trojaners massiv geschädigt. Absolut vorbildlich und respektabel ist der Umgang des renommierten Verlages und IT-Branchenportals mit der eigenen Datenpanne. Hier die wichtigsten Fakten:

Chronologie eines Angriffs

Wie Heise Online auf seinem Portal ganz offen berichtet, wurde der Verlag Heinz Heise und die Heise Gruppe bereits am 13. Mai 2019 von dem Trojaner Emotet angegriffen. (Heise Medien, zu denen c’t und heise online gehören, waren nicht betroffen). Der sofort nach Erkennung eingeleitete harte Shutdown, also das komplette kappen des Internet-Zugangs, konnte die Verschlüsselung wichtiger Daten gerade noch verhindern. Der Angriff kam wie so häufig über eine E-Mail mit Anhang von einem vermeintlichen aber dem Namen nach bekannten Geschäftspartner. Das Öffnen der Datei und die danach durchgeführte Aktion des Anwenders nach einer gefälschten Fehlermeldung startete den Trojaner. Zuerst äußerste sich das nur durch Alarmmeldungen der eingesetzten AV-Lösungen hier und dort. Erst als am Nachmittag des gleichen Tages der Log-Auswertung der Firewall ungewöhnlich häufige Verbindungen aus dem Heise Netz z.B. über TCP-Port 449 zu bekannten Emotet Servern auffielen, kam man dem wahren Grund der Probleme näher.

Heise zog daraufhin Forensiker und Incident-Response Spezialisten hinzu um a) den Betrieb ohne neues Risiko teilweise wieder aufzunehmen und b) das Windows-Netz der befallenen Bereiche wieder neu aufzusetzen. Allein dafür sind Heise laut eigenen Aussagen Kosten in Höhe von ca. 50.000 € entstanden. Wie Heise das auf seinem Portal beschreibt, handelt es sich hierbei nicht um hochgerechnete Zahlen wie sie häufig in Risikobewertungen auftauchen, sondern um konkret entstandene Kosten. Die Gesamtkosten für Ausfall von Produktivität, zusätzliche Überstunden sowie Umsatzausfälle schätzt Heise um einen weiteren 5-stelligen Betrag höher.

Wir finden es bemerkenswert wie offen und ehrlich Heise mit der Attacke und den Folgen umgeht. Eine Vertuschung der Vorfälle bei Heise wäre tatsächlich unrühmlich gewesen, meldet doch Heise selbst täglich neue Sicherheitslücken bei Herstellern und Angriffe auf Unternehmen. 

Lernen aus den Fehlern

Die Lehren aus dem Incident zieht Heise und öffentlich und lädt zu einem Live-Webinar am 3. Juli 2019 ein. Hier erfahren Sie mehr über gestaffelte Verteidigungskonzepte, Design-Probleme bei Windows und Active Directory und Best Practices gegen Angriffe dieser Art. Heise führt dieses Webinar zusammen mit Security-Spezialisten durch. Wir gehen davon aus, dass die veranschlagten Kosten für das Webinar kein Deckungsbeitrag für die bei Heise entstandenen Kosten sind, sondern das Geld wert sind. 

Was macht Emotet so gefährlich?

Angriffe über die Schadsoftware Emotet sind gerade en vogue. Emotet ernährt und verbreitet sich über Kontakte, die bei infizierten Systemen gespeichert sind. Damit ist es Tätern möglich, reale E-Mail Absendernamen vorzutäuschen mit denen der E-Mail Empfänger tatsächlich erst kürzlich Kontakt hatte. Diese E-Mails haben immer einen Anhang bzw. einen Link. Durch die hohe Authentizität der gesamten E-Mail ist die Hemmschwelle des Empfängers gering. Ein einziger Klick genügt und Emotet lädt entsprechende Schadsoftware über eigene Server nach. Die Folgen sind Datenverlust, Kontrolle des Netzwerks, Produktionsausfälle und Verlust von Zugangsdaten.

 

FAZIT: Die nachfolgend aufgeführten Empfehlungen des BSI sind nicht neu. Beherzigen Sie diese IT-Security Basics, haben Sie einen guten Schutz und Ihre Hausaufgaben diesbezüglich grundsätzlich erledigt. Vergessen Sie nicht Ihre Mitarbeiter regelmäßig über Vorsichtsmaßnahmen und aktuelle Gefahren zu informieren.

Das BSI rät …

  • Betriebssysteme und Applikationen durch Patches und Sicherheitsupdates immer aktuell zu halten
  • Anti-Viren Software stets aktualisieren
  • Regelmäßige Backups (inkl. Datenverschlüsselung und Ransomware-Zugriffsschutz (Anm. der Redaktion))
  • Vorsicht bei verdächtigen E-Mails mit Anhängen. Speziell Anhänge in Form von Office Dokumenten sind riskant
  • Rufen Sie bei Verdacht und Im Zweifel lieber den Absender an, bevor Sie unbekannte Anhänge öffnen
MetaAccess Plattform NAC: Sicherer Zugriff auf Cloud-Anwendungen https://t.co/eZs4kTa2UM https://t.co/Qhhd6mPDrI
@heiseonline: Konfigurationsfehler führt zu Datenleck bei Mastodon https://t.co/EhlutSobts #Sicherheitslücke #Mastodon
@heiseonline: BKA und Zitis suchen Zero-Day-Exploits – Bundesregierung weiß nichts davon https://t.co/Kvzrr4O3Sr #ZeroDayExploit #ProjektOverclock
EU-Generalanwalt: Schufa-Profile nicht erlaubt | heise online https://t.co/HKNJCwaonW
Kritische #Sicherheitslücke CVE-2023-23397 in Microsoft #Outlook https://t.co/UjKVLapPjE
@DSAgentur: Bestelle ich immer für mich selbst? Sind Bestellungen von Medikamenten dadurch zugleich Gesundheitsdaten, die sich auf mich beziehen? https://t.co/O7j7og6FdK
Cyberkriminelle nutzen Zusammenbruch von Silicon-Valley-Bank in Betrugsmaschen | Security https://t.co/8rNNXD0llT
@heisec: Cyberkriminelle nutzen KI-generierte Youtube-Clips zum Verteilen von Malware https://t.co/P3Z5mexGY1 #AIYoutubeClips #Malware
Webbrowser: #Firefox 111 dichtet 13 #Sicherheitslücken ab | Security https://t.co/Xsy28wFI2T
Patchday: #SAP schließt 19 teils kritische #Sicherheitslücken | Security https://t.co/0HuADFk4z2 #Patchday
Kritische Sicherheitslücken: Lexmark aktualisiert Firmware für viele Drucker | Security https://t.co/QzghMWk80o
Neue IT-Grundschutz Anforderungen an die Fernwartung in IT-Umgebungen und imindustriellen Umfeld https://t.co/itvBk42aZa https://t.co/zFaZ8GIBfI
Schon wieder #Emotet Neue Variante verbreitet sich über 600 KB Zip-Dateien in legitim aussehenden E-Mails. https://t.co/9C6moDe0oE https://t.co/sRNNBG9ceW
Hochriskante Denial-of-Service-Lücke in #Cisco IOS XR | Security https://t.co/nQ8LxM0olx
Dänisches Verteidigungsministerium verbietet Tiktok auf Dienstgeräten https://t.co/4tUsoX0bua
Endpoint Detection & Response EDR & XDR vom europäischen Hersteller TEHTRIS jetzt bei ProSoft https://t.co/spExRVF3By https://t.co/DHrxWdsDWz
@heisec: Windows 11: Angreifer umgehen mit UEFI-Bootkit BlackLotus Secure Boot https://t.co/IGlnNDRPVi #BlackLotus #Patches
Sicherheitsupdates: Angreifer könnte IP-Telefone von Cisco als Root attackieren | Security https://t.co/NUODniQaHw
So schützt die OPSWAT MetaDefender-Plattform vor Cyberangriffen https://t.co/m1Yo1jA7WQ

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This