Nach einer kurzen Winterpause ist er zurück: Das Hornetsecurity Security Lab beobachtet erneut ein erhöhtes Vorkommen von Malspam E-Mails, die den allgemein bekannten Trojaner Emotet enthalten. Und Emotet bringt zwei weitere Schadprogramme mit sich, die da heißen TrickBot und die Ransomware Ryuk. Bereits Ende 2018 wurde eindringlich vor TrickBot gewarnt, der über Emotet nachgeladen wird und einigen Unternehmen Schaden in Millionenhöhe beschert. Vom Banking-Trojaner betroffen waren hierzulande beispielsweise Krauss Maffei und das Klinikum Fürstenfeldbruck. Maschinen standen tagelang still, den Unternehmen kostet das finanzielle Summen im fünf- wenn nicht sogar sechsstelligen Bereich. Nun hat sich die Ransomware Ryuk dem Duo angeschlossen und verleiht der Attacke ein ganz neues Niveau von Cyberkriminalität.

Das Vorgehen bei Ryuk

Die drei gefährlichen Schadprogramme gehen folgendermaßen vor: Getarnt in einem Word-Dokument, dringt Emotet beim Ausführen der Datei in ein Unternehmensnetzwerk ein und kundschaftet dieses aus. Als „Türöffner“ lädt er den Banking-Trojaner TrickBot nach, der unter anderem Kontozugangsdaten kopiert. Diese Information gibt er an die Ransomware Ryuk weiter, die schließlich als letztes nachgeladen wird. Ryuk verschlüsselt nun alle im System befindlichen Dateien, die TrickBot und Emotet zuvor als sensibel bzw. wichtig eingestuft haben.

Das besonders Hinterlistige an Ryuk ist allerdings, dass es neben der Verschlüsselung wichtiger Daten im gleichen Zuge alle hiervon existierenden Sicherheitskopien löscht und somit die Wiederherstellung erheblich erschwert. Experteneinschätzungen zufolge kristallisiert sich mit dieser Löschfunktion ein neuer Trend in der Entwicklung von Erpressungssoftware heraus. Die geforderte Summe richtet sich zudem nach dem Wert, den TrickBot als derzeitigen finanziellen Verfügbarkeitsrahmen des Unternehmens ausmachen konnte. Dabei ist die Attacke nach ersten Informationen sehr zielgerichtet und betrifft vor allem Unternehmen, die in der Lage sind, eine hohe Summe zu zahlen, um wieder Zugriff auf ihre Daten zu erlangen.

Nach Spiegel Informationen tauchte Ryuk erstmalig im August 2018 auf und erwirtschaftete seitdem mindestens 705 Bitcoins Lösegeld – umgerechnet entspricht das derzeit 2,25 Millionen Euro. Welche Hackergruppe dahinter steckt sei bislang noch unklar.

Das Einfallstor bei Ryuk

Unser Security Lab hat das Trio ebenfalls unter die Lupe genommen. Das Trio verbreitet sich über folgende Aufmachung:
Ryuk Emotet E-Mail

Abbildung 1: Darstellung der Emotet E-Mail

In den jüngsten Emotet E-Mails ist die Rede von einer Auflistung eines aktuellen Guthabens zugunsten des Empfängers. Diese befindet sich als Word-Dokument (.doc) im Anhang. Der Inhalt der Emotet E-Mails variiert zwischen den Malspam Kampagnen stark. So wurde beispielsweise zu Weihnachten Emotet als Weihnachtsgrußkarte getarnt in E-Mails versandt.
Öffnet sich das Word-Dokument, erscheint wie bei vorherigen Emotet-Wellen, folgende Information:
Getarntes Office-Dokument bei Ryuk

Abbildung 2: Das getarnte Office-Dokument

Das Dokument wurde angeblich in einer alten Version von Microsoft Office erstellt. Öffnet sich das Dokument im geschützten Modus, soll der Empfänger „Enable Editing“ („Bearbeitung aktivieren“) und danach „Enable Content“ („Inhalt zulassen“) klicken. Dadurch startet im Hintergrund automatisch ein Makro, das den Emotet-Trojaner lädt.
Makros bei Ryuk

Abbildung 3 (Auszug Makro) Die AutoOpen-Funktion in Makros dient der sofortigen Ausführung des Makro Codes, wenn ein MS Word Dokument geöffnet wird.

Information für Hornetsecurity Kunden:

Hornetsecurity Advanced Threat Protection erkennt Emotet und Ryuk mühelos und stellt beide Malware-Programme unter Quarantäne. Bereits in der ersten Analyse-Instanz wird der Emotet-Trojaner identifiziert. Die nachgelagerten Trojaner Ryuk und TrickBot können mithilfe der dynamischen Verhaltensanalyse in der ATP Sandbox entlarvt werden. E-Mails, die die perfiden Schadprogramme enthalten, werden den Empfängern demnach nicht zugestellt.