Cybercrime-Allzweckwaffe Emotet nimmt Zahlungsdaten ins Visier
Nach dem überraschenden Comeback im Herbst 2021 ist es um Emotet, die Allzweckwaffe des Cybercrime, wieder ruhiger geworden. Aber Vorsicht ist dennoch geboten, denn die Entwicklerinnen und Entwickler von Emotet sind weiterhin aktiv, wie Untersuchungen von Sicherheitsforschern und -forscherinnen belegen.
Das vergangene Jahr hat für Emotet einer Achterbahn-fahrt geglichen: Zuerst der spektakuläre Takedown Anfang 2021, dann die Rückkehr des langjährigen "Königs der Schadsoftware" Ende 2021. Zurzeit ist es relativ still um Emotet geworden. Dabei sind die Cyberkriminellen hinter dem Schadprogramm weiterhin aktiv, wie einige Neu- und Weiterentwicklungen zeigen. Zwei Entwicklungen wirken sich sowohl auf private Anwenderinnen und Anwender als auch auf Unternehmen aus.
Ausbreitung per Netzlaufwerk
Erstens: Emotet kann sich als virtueller Türöffner kreuz und quer durch ein Firmennetzwerk bewegen – das ist eine Standardfunktion der Malware. Jetzt kehrt ein Spreader-Modul zurück, das bereits verschwunden war. Ziel dieser Komponente war und ist die Verbreitung des Schadcodes per Server-Message-Block(SMB)-Freigabe. Hier kommt jedoch keine bisher unentdeckte Sicherheitslücke zum Einsatz, sondern eine klassische Brute-Force-Methode. Da in Unternehmensnetzen oft Administratorkonten nur unzureichend mit schwachen Passwörtern gesichert sind, nutzt die aktuelle Version des Spreader-Moduls eine Liste mit oft verwendeten Kennwörtern, um Zugang in andere Bereiche des Netzwerks zu bekommen.
Die Liste enthält unter anderem die Standard-Passwörter wie "999999", "Password", "123456", "q1w2e3r4t5" oder "qwerty". Wer also derzeit ein Standard-Kennwort verwendet, sollte es umgehend ändern. Dies gilt auch für Dienstkonten, denn diese sind dafür bekannt, dass dort Passwörter über Jahre unverändert bleiben. Oft gibt es sogar Vorschriften von Herstellern oder interne Regelungen, die das Ändern von Dienstkonto-Passwörtern explizit verbietet. Unter Sicherheitsgesichtspunkten ist das mehr als bedenklich.
Im Visier: Zahlungsdaten
Zweitens: Auch Heimanwenderinnen und -anwender, die sich kaum mit Dienstkonten befassen, haben einiges zu befürchten. Ziel der Cyberkriminellen ist dabei eine Funktion, die viele Anwenderinnen und Anwender aus Bequemlichkeitsgründen verwenden: die Autovervollständigen-Funktion in Googles Chrome-Browser. Mit dieser lassen sich beispielsweise notwendige Eingaben beschleunigen, wie etwa Name, Anschrift oder E-Mail. Doch auch Zahlungsdaten lassen sich hier speichern, wie etwa Kreditkartendaten. Das Problem: Eine neue Emotet-Funktion durchforstet gezielt diese Autovervollständigen-Daten nach Zahlungsinformationen oder Logindaten.
In einem Browser sind solche Informationen nicht gut aufgehoben, da Kriminelle sie mit recht geringem Aufwand auslesen können. Dasselbe gilt auch für Passwörter. Die meisten aktuellen Browser bieten auch einen Passwortspeicher, um Anmeldevorgänge etwa auf Shoppingseiten oder Diskussionsforen zu beschleunigen.
Generell ist von der Verwendung dieser browserinternen Funktionen abzuraten. Stattdessen sollten Anwenderinnen und Anwender für sämtliche kritische Daten externe Programme wie etwa Passwortmanager nutzen. Die Auswahl ist gross und beinhaltet sowohl kostenfreie als auch kostenpflichtige Optionen. Dort, wo es möglich ist, sollten Unternehmen und Privatpersonen eine Mehrfaktor-Authentifizierung nutzen.