Das Internet hat sich geändert, und die ältere Technologie macht Organisationen anfällig für neue Bedrohungen. Heute kann ein einzelner Klick für den Zugriff auf eine Webseite einen Aktivitätensturm auslösen. Eine Schadsoftware verbreitet sich rasend schnell, befällt tausende Computersysteme, lädt zeitgleich weitere Schadprogramme nach, mit denen etwa das Auslesen von Bankdaten und Kommunikationsdaten möglich werden.

Emotet ist raffiniert und passt sich an

Emotet ist eine hochentwickelte Schadsoftware, die sich dynamisch an neue Sicherheitsmaßnahmen anpasst und als besonders gefährlich gilt. Sie wird in der Regel über täuschend echte Phishing Mails verbreitet, die häufig so aussehen, als kämen sie von Kollegen, Geschäftspartnern oder bekannten Kontakten. Die Mails wirken überzeugend, da sie auf Informationen basieren, die der Trojaner zuvor aus kompromittierten Postfächern gesammelt hat.

Die Vorgehensweise von Emotet zeigt deutliche Parallelen zu Techniken staatlich gesteuerter Hackergruppen. Die Angreifer setzen auf gezielte Kampagnen mit Methoden wie Spear Phishing und sogenanntem Lateral Movement (1). Besonders perfide ist die Funktion des Outlook Harvesting (2). Bereits infizierte Systeme werden systematisch nach E-Mail-Inhalten und Kontaktbeziehungen durchsucht. Die so gewonnenen Daten nutzt die Schadsoftware, um weitere Phishing-Mails zu generieren, die kaum von legitimer Kommunikation zu unterscheiden sind. Dies erhöht die Wahrscheinlichkeit, dass Empfänger die Anhänge oder Links in den Mails öffnen und dadurch ihr System infizieren.

Emotet wird ständig modifiziert, was es den üblichen Virenschutzlösungen erschwert, die Bedrohung zuverlässig zu erkennen. Die Schadsoftware dringt tief in das Betriebssystem ein und verändert essenzielle Komponenten. Selbst nach einem scheinbar erfolgreichen Reinigungsversuch besteht die Gefahr, dass Rückstände aktiv bleiben und erneut Schaden anrichten.

Emotet stellt eine ernstzunehmende Bedrohung für Unternehmen dar. Es handelt sich um ein Instrument, das gezielt zur Unterwanderung interner Systeme genutzt wird. Die Bekämpfung erfordert nicht nur klassische Schutzmaßnahmen, sondern intelligente, adaptive Sicherheitslösungen. Nur durch frühzeitige Erkennung, konsequente Analyse und durchdachte Kontrollmechanismen lässt sich die Ausbreitung eindämmen und langfristiger Schaden verhindern.

1 Spear Phishing

ist eine Methode, bei der Cyberkriminelle gezielt einzelne Personen oder bestimmte Gruppen innerhalb eines Unternehmens ansprechen. Im Gegensatz zu herkömmlichem Phishing, das massenhaft versendet wird, sind Spear Phishing Mails genau auf den Empfänger zugeschnitten. Die Angreifer verwenden Informationen aus sozialen Netzwerken, früheren E-Mails oder öffentlich zugänglichen Quellen, um ihre Nachrichten besonders glaubwürdig erscheinen zu lassen.

Der Empfänger soll dazu gebracht werden, eine schädliche Datei zu öffnen oder auf einen manipulierten Link zu klicken, wodurch der erste Zugang zum System entsteht. Sobald dieser Zugang vorhanden ist, beginnt das sogenannte Lateral Movement. Dabei breitet sich die Schadsoftware unauffällig im internen Netzwerk aus. Sie springt von einem infizierten Rechner zum nächsten, sucht gezielt nach Systemen mit erweiterten Rechten oder sensiblen Daten und nutzt dabei vorhandene Verbindungen oder Sicherheitslücken. Diese Bewegung innerhalb des Netzwerks erfolgt oft schrittweise und bleibt lange unentdeckt. Das Ziel ist es, sich dauerhaft im Netzwerk festzusetzen und möglichst viele Bereiche zu kontrollieren, ohne frühzeitig erkannt zu werden.

 

2 Outlook Harvesting

Damit sind bereits infizierte Systeme gemeint, dass Emotet nach der Infektion eines Computers gezielt das E-Mail Programm Outlook durchsucht. Die Schadsoftware nutzt den Zugriff auf das bereits infizierte System, um dort systematisch Informationen aus Outlook zu sammeln. Dazu gehören E-Mail Adressen, Kommunikationsverläufe, Betreffzeilen und Inhalte aus gesendeten und empfangenen Nachrichten. Auch Kontakte aus dem Adressbuch werden ausgelesen. Emotet, erntet sozusagen die Daten, die im Outlook Profil gespeichert sind daher der Begriff Harvesting, also Ernten.

Diese gesammelten Informationen dienen dazu, neue, glaubwürdige Phishing-Mails zu erstellen. Diese wirken dann so, als kämen sie von realen Personen, mit denen der Empfänger tatsächlich in Kontakt war. Das erhöht die Wahrscheinlichkeit, dass Empfänger auf diese Mails reagieren und den Anhang öffnen oder einen schädlichen Link anklicken.

Kurz gesagt: Outlook Harvesting bedeutet, dass Emotet infizierte Systeme als Datenquelle nutzt, um echte Kommunikationsmuster nachzuahmen und so weitere Rechner zu infizieren.