Dies entsprach einem durchschnittlichen Zuwachs von rund 322.000 neuen Schadprogramm-Varianten pro Tag im Berichtszeitraum (siehe Abbildung 2).
Im Vergleich zu früheren Berichtszeiträumen fiel die Welle im aktuellen Zeitraum flacher, jedoch nicht weniger bedrohlich aus. Das lag insbesondere an den neuen Varianten der Schadsoftware Emotet, die seit September 2019 wieder verstärkt für Cyber-Angriffe verwendet wurde. Das Auftreten von Emotet markiert einen Methodenwechsel der Angreifer. Waren früher noch ungezielte Massenangriffe auf zufällig getroffene Ziele das Mittel der Wahl, so werden Schadsoftware-Angriffe mittlerweile immer intelligenter und – durch einen geschickt kombinierten Einsatz verschiedener Schadprogramme – gezielter.

Emotet: Neue Qualität fortschrittlicher Angriffe

Emotet dominierte im Berichtszeitraum die IT- Sicherheitsbedrohungen durch Schadprogramme und vereint vielfältige Schadfunktionen. So sind beispielsweise verschiedene Software-Module zum Ausspähen von Informationen, zum Spamversand sowie zum Nachladen weiterer Schadprogramme enthalten. Zudem besitzt Emotet Wurm- und Bot-Funktionalitäten. Das Schadprogramm kann sich demnach nicht nur automatisiert in einem Netzwerk verbreiten, sondern auch Kontakt zu einem Command-and-Control-Server aufnehmen, um von dort Befehle der Angreifer entgegenzunehmen und im infizierten Netzwerk auszuführen.
Diese vielfältigen Schadfunktionen bieten den Angreifern zahlreiche neue und fortschrittliche Angriffsvektoren. Dabei kommen Methoden in massenhafter Weise zum Einsatz, die zuvor nur bei gezielten, aufwändigen und fachlich anspruchsvollen Angriffen auf herausgehobene Ziele beobachtet wurden.

Der Drei-Stufen-Angriff:

1. Emotet-Infektion durch Social Engineering im Schneeballprinzip:

Als Link in E-Mails wird es auf Webseiten verborgen und nach dem Klick auf den Link installiert. Um Nutzerinnen und Nutzer zum Klick zu verleiten, kommen fortschrittliche Social-Engineering-Techniken zum Einsatz. Nach einer erfolgreichen Infektion späht Emotet die E-Mail-Kommunikation des Opfers aus (sogenanntes Outlook-Harvesting) und nutzt diese, um Kommunikationspartner wie beispielsweise Geschäftspartner des Opfers anzugreifen. Die Kommunikationspartner erhalten dann ihrerseits E-Mails mit schädlichen Anhängen, die beim Klick Emotet installieren. Mit Hilfe der zuvor erbeuteten E-Mail-Kommunikationsverläufe generiert Emotet automatisiert täuschend echt wirkende Antworten auf vermeintlich vom Opfer stammende E-Mails und verbreitet diese massenhaft weiter. Aufgrund der bekannten Betreffzeilen und zitierten E-Mail-Inhalte werden Empfänger häufig erfolgreich zum Klicken verleitet. Diese Angriffsmethode kann praktisch ohne weiteres Zutun der Angreifer automatisiert durch die Schadsoftware ausgeführt werden.

2. Persistente Spionage durch Trickbot:

Nach erfolgreicher Infektion eines Systems lädt Emotet weitere Schadsoftware nach; im Berichtszeitraum handelte es sich häufig um Trickbot. Wird Trickbot nicht adhoc entdeckt, verbleibt Trickbot meist über viele Monate oder sogar Jahre im System! Trickbot besitzt Spionage- und Sabotagekomponenten und kann automatisiert das Netzwerk des Betroffenen vollständig kompromittieren – bis hin zu zentralen Systemen wie dem Domain-Control-Server im Active Directory, der für die zentrale Authentifizierung von Nutzerinnen und Nutzern sowie die Zuweisung von Rechten und Rollen zuständig ist. Der Angreifer verfügt dadurch über alle Rechte, um beispielsweise Benutzerkonten mit Administratorrechten anzulegen, Daten einzusehen und abfließen zu lassen oder Hintertüren (sogenannte Backdoors) für einen längerfristigen Verbleib im infizierten System einzurichten. Zudem sammelt Trickbot eigenständig Informationen über Systeme, Benutzer und installierte Software des Opfers und übermittelt diese an die Angreifer.