Office-Dokumente sind noch immer nicht sicher

By

Emotet ist zurück. Word, Excel und andere Office 365-Dateien sind noch immer ein Cyberthreat-Vektor. Wie lässt sich die Bedrohung stoppen?

Mit fast einer Woche Verspätung erhielt Tom das Preisangebot von Tetome Supply.

Er hatte schon gespannt darauf gewartet. Aus den vierteljährlichen Cybersicherheitskursen wusste er jedoch, dass er vorsichtig sein musste. Also studierte er sorgfältig die E-Mail-Adresse und den Namen des Absenders und vergewisserte sich, dass es sich bei dem Anhang um ein Word-Dokument und nicht um eine .exe-Datei handelte. Der Inhalt der E-Mail, in dem sich der Absender für seine Geduld bedankte und sich nach seinem neuen Welpen erkundigte, beruhigte ihn zusätzlich.

Tom nippte an seinem Morgenkaffee, während er die aktuellen Schlagzeilen auf seinem Smartphone überflog. Auf dem Display erschien eine Meldung, die Tom darauf hinwies, dass die .doc-Datei in iOS erstellt worden war und dass er die Bearbeitung und den Inhalt aktivieren müsse. Endlich würde er den Inhalt des Dokuments anzeigen können. Allerdings löste sein Aktion gleichzeitig eine unerwünschte Kettenreaktion aus.

Soweit Tom sehen konnte, enthielt das Dokument nur Preisinformationen. Nichts deutete darauf hin, dass mithilfe eines Powershell-Befehls Emotet von einer kompromittierten Website heruntergeladen wurde. Oder dass Trickbot genutzt worden war, um Emotet zu unterstützen.

Aber es war schon zu spät. Als Tom einige Tage später seinen Laptop aufklappte, informierte ihn eine Nachricht, dass alle seine Dateien verschlüsselt worden waren und dass die Hacker sie erst gegen eine Zahlung von 150.000 Dollar in Bitcoin entsperren würden. Die Nachricht war von Ryuk unterschrieben.

Eine kurze Feuerpause.

In der ersten Jahreshälfte 2019 hatten bösartige PDFs noch einen Vorsprung vor bösartigen Office 365-Dateien: 36.488 zu 25.461. Im Jahr 2020 ging die Zahl der PDFs im Vergleich zu 2019 um 8 % zurück, während die Zahl der bösartigen Microsoft Office-Dateien auf 70.184 in die Höhe schnellte – ein Anstieg um 176 %.

Das Wired Magazine nannte Emotet die gefährlichste Malware der Welt. Kein Wunder, dass die Strafverfolgungsbehörden aller großen Länder im Januar 2021 massive Anstrengungen unternahmen, um die Infrastruktur von Emotet zu zerstören, die auf Servern und Computern in mehr als 90 Ländern verteilt war. Die konzertierten Aktionen führten zur Verhaftung verschiedener Beteiligter und zur Beschlagnahmung von technischer Ausstattung, Bargeld und sogar Goldbarren, die die Banden angehäuft hatten.

Die Angriffe über Microsoft Office-Dateien gingen tatsächlich zurück. Laut dem SonicWall Cyber Threat Report 2022 sind PDFs erneut der bevorzugte Angriffsvektor mit einem Anstieg um 52 %, während Angriffe mit bösartigen Microsoft Office-Dateien um 64 % zurückgegangen sind. Eine deutliche Trendumkehr also – und dennoch gab es keine Zeit zum Durchatmen.

A graph showing the rise of never-seen-before malware variants.

Emotet ist wieder da.

Jüngsten Berichten von Bleeping Computer, Threatpost und dem Sans Technology Institute zufolge ist Emotet 10 Monate nach der öffentlichkeitswirksamen Behördenaktion im Januar 2021 wieder aufgetaucht und aktiver denn je. Die Angreifer verbreiten aktiv infizierte Microsoft Office-Dokumente, ZIP-Archive und andere Dateien, die Emotet-Code enthalten.

Zwar ist es noch zu früh, um einen Trend zu erkennen, aber vereinzelt sehen wir signifikante Veränderungen, wie die Verschlüsselung von Malware-Ressourcen, und neue Strategien mit gezielten Phishing-Angriffen, zum Beispiel E-Mails mit Antwortketten, Versandmitteilungen, Steuerdokumente, Buchhaltungsberichte oder sogar Einladungen zu Weihnachtsfeiern.

In weniger als 10 Monaten ist Emotet wieder zurückgekehrt und wie es scheint gefährlicher denn je.

So schützen Sie sich vor bösartigen Office 365-Dateien.

Schon ein paar einfache Maßnahmen reichen aus, um sich und andere in Ihrem Netzwerk gegen komplexe Gefahren zu schützen. In einem ersten Schritt sollten Sie Ihre Office 365-Einstellungen ändern, um Skripte und Makros zu deaktivieren. Halten Sie außerdem Ihre Endgeräte und Ihr Betriebssystem mit den aktuellsten Windows-Patches auf dem neuesten Stand.

Sie können mit einer internen Richtlinie festlegen, dass Dokumente und andere Dateien nicht per E-Mail übertragen werden dürfen. Informieren Sie sich außerdem über die regelmäßigen Patches und Updates von Microsoft. Wir alle sind immer sehr beschäftigt, aber wenn Sie Ihre Updates vernachlässigen, öffnen Sie Angreifern Tür und Tor, diese Schwachstellen auszunutzen.

Sie können auch umfassendere Maßnahmen ergreifen, um sich besser gegen Angriffe zu wappnen. Mit der Erkennung von insgesamt 442.151 bislang unbekannter Malware-Varianten war 2021 ein weiteres erfolgreiches Jahr für die patentierte Real-Time Deep Memory Inspection™ (RTDMI)-Technologie von SonicWall. Dies entspricht einem Anstieg von 65 % gegenüber 2020 und einem Durchschnitt von 1.211 pro Tag.

A graph showing new malicious file type detections in 2021.

Capture ATP, 100 % Erkennungsrate, 0 % Falschmeldungen.

Das Beste an RTDMI ist, dass es in SonicWalls Capture Advanced Threat Protection (ATP) integriert ist. In den vierteljährlichen Tests von ICSA Labs hat RTDMI fünf Quartale in Folge 100 % aller bösartigen Bedrohungen erkannt, ohne einen einzigen Fehlalarm auszulösen.

Capture ATP mit RTDMI nutzt eine proprietäre Speicherinspektionstechnologie, CPU-Befehlsverfolgung und Machine Learning, um bis dato unbekannte Cyberangriffe zu erkennen und zu entschärfen, einschließlich Bedrohungen, die kein bösartiges Verhalten zeigen und ihre Absichten durch Verschlüsselung verbergen – Angriffe, die herkömmliche Sandboxes wahrscheinlich übersehen würden.

Dies ist in Fällen wie dem von Tom besonders wichtig, da sowohl Trickbot als auch Emotet auf Verschlüsselungstechniken zurückgreifen, um ihre Aktionen zu verbergen. Emotet kann sogar feststellen, ob es innerhalb einer virtuellen Maschine (VM) ausgeführt wird, und bleibt inaktiv, wenn es eine Sandbox-Umgebung erkennt.

This post is also available in: English Alemão Allemand Alemán Italienisch

SonicWall Staff