Der spektakuläre Cyberangriff auf die lebenswichtige Colonia Pipeline in den USA durch das russische Hackerunternehmen DarkSide hat die Blicke wieder mal auf die Gefahren der grassierenden globalen Cyberkriminalität gerichtet. Weniger beachtet von der Öffentlichkeit sind die Cyberkriminellen auch in der Schweiz unermüdlich aktiv. Laut dem unlängst erschienen Halbjahresbericht 2020/2 des Nationalen Zentrums für Cybersicherheit NCSC sind bei der Anlaufstelle für Cybervorfälle in der zweiten Jahreshälfte 2020 insgesamt 5’542 Meldungen von Privatpersonen und Unternehmen eingegangen. 34 Meldungen betrafen überwiegend kleinere und mittlere Unternehmen, die Opfer von erfolgreichen Angriffen mit Schadsoftware und damit verbundenen hohen Lösegeldforderungen geworden sind. Der NCSC-Halbjahresbericht zeigt auf, wie ein Angriff mit der verbreiteten «Emotet»-Schadsoftware abläuft. Lesen Sie, wie «Emotet» funktioniert und was Unternehmen dagegen tun sollten.

So funktioniert die in der Schweiz verbreitete «Emotet»-Schadsoftware

Im Halbjahresbericht 2020/2 des Nationalen Zentrums für Cybersicherheit NCSC ist zu lesen: «Nach mehrmonatigem Unterbruch beobachtete das NCSC seit Juli 2020 erneut verschiedene Spamwellen der ‘Emotet’-Schadsoftware. Obwohl ‘Emotet’ in der zweiten Jahreshälfte 2020 insgesamt weniger stark aktiv war als in der ersten, zählte ‘Emotet’ bei Jahresende erneut zur meistverbreiteten Schadsoftware in der Schweiz und international. Ursprünglich als E-Banking-Trojaner bekannt, wurde ‘Emotet’ zuletzt vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware verwendet.»
In der folgenden Grafik wird detailliert aufgezeigt, wie «Emotet» funktioniert:

Empfehlungen des NCSC zur Abwehr der «Emotet»-Schadsoftware

• Das Ausführen von unsignierten Office-Makros sollte technisch unterbunden werden. Office-Dokumente mit Makros sollten bereits auf dem E-Mail-Gateway beziehungsweise vom Spam-Filter erkannt und gar nicht an die Empfänger ausgeliefert werden. Passwort geschützte ZIP-Dateien sollten ebenfalls auf dem E-Mail-Gateway erkannt und erst nach einer Kontrolle zugestellt werden.
• Websites, die aktiv für die Verbreitung von «Emotet» verwendet werden, sind am Netzwerkperimeter zu sperren. Eine Liste dieser Websites wird beispielsweise von https://urlhaus.abuse.ch/api/ kostenlos zur Verfügung gestellt.
• Server, welche für die Steuerung von mit «Emotet» infizierten Geräten verwendet werden, sind zu blockieren. Eine Liste von IP-Adressen, welche «Emotet» zugeordnet werden können, werden unter anderem bei https://feodotracker.abuse.ch/blocklist/ publiziert.