Emotet vs. Heise-Verlag

Drahminedum

Lieutenant Pro
Registriert
Sep. 2016
Beiträge
787
Eine hoch interessante Fallstudie: Teile des Heise-Verlags (ct, iX) haben eine Emotet-Infektion erlitten.

Weil heise damit sehr transparent umgeht kann man Details der Infektion und wie darauf von den Admins reagiert wurde hier nachlesen:
https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html

Es gibt dazu auch ein Youtube-Video, die Qualität ist aber teilweise schauerlich und viel mehr als in obigem Artikel ist da auch nicht wirklich enthalten:
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Hayda Ministral, sedot, DeusoftheWired und 4 andere
Das Problem an der Sache ist der gezielte Angriff eines Codes der teilweise erheblich viel Rechenleistung nutzen kann um sein Opfer zu überlisten.

Gerade das Dynamite-Phishing dürfte zunehmend zum Problem werden. Wenn Mitarbeiter nicht mehr in der Lage sind, zweifelsfrei den Absender zu bestimmen und damit abzuwägen ob der Inhalt einer Mail wirklich sicher ist.

Dazu kommt der Fakt das man in der Administration nicht leichtfertig mit Rechten hantieren darf. So wenig Adminrechte wie möglich und immer von niedrigsten möglichen Level.

Dennoch ist es potentiell möglich das einen dieser Angriff mit der hohen Lösegeldforderung überkommt.
Wer dann keine für Emotet unsichtbaren Backups besitzt, der wird wohl zahlen oder unter Umständen so oder so kaputt gehen.

Die wo dahinter stehen, wollen halt am Ende auch nur Brötchen verdienen und in diesem Fall mit ordentlich Nachdruck.
Eine mögliche Lösung wäre es also auch, diesen Menschen eine legale Arbeit zu beschaffen um so den Druck zu nehmen, illegales zu tun.
 
  • Gefällt mir
Reaktionen: wesch2000
Candy_Cloud schrieb:
Die wo dahinter stehen, wollen halt am Ende auch nur Brötchen verdienen und in diesem Fall mit ordentlich Nachdruck.
Eine mögliche Lösung wäre es also auch, diesen Menschen eine legale Arbeit zu beschaffen um so den Druck zu nehmen, illegales zu tun.

Ja aber hier machen einige wenige Gewinne in Millionenhöhe, warum sollten diese dann legale Angebote, welche nur mit einem Bruchteil vergütet werden, überhaupt in Betracht ziehen? Was du sagst ist völlig richtig aber nun mal fern ab der Realität.
 
Ich vermute mal, dass Makros in Word aktiviert waren. Wenn dem nicht so wäre, hätte auch keine Infektion stattgefunden. Von daher würde ich mal sagen, selber Schuld.
 
Klikidiklik schrieb:

Du vergisst, dass es hier nicht um IT-Experten geht sondern um Anwender. Selbst wenn Du die bestens schulst und sie dann zu 99,99% richtig handeln, reicht ein einziger falscher Klick aus. Und beim Dynamite Phishing werden die Emails mittlerweile so gut gemacht, dass sie für den normalen Anwender nicht mehr verdächtig erscheinen.

Als tu bitte weniger vermuten sondern lies Dir den Artikel zuerst durch bevor Du ihn kommentierst.
 
Hab den Artikel durchgelesen und es ist genau das Problem wie ich bereits sagte. Zitat hierzu aus dem Artikel:
Am Montag, den 13. Mai, um kurz vor 15 Uhr öffnete ein Mitarbeiter eine Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und das Unheil nahm seinen Lauf.

Wenn Makros deaktiviert sind, kann Lieschen Müller noch so oft auf den Word-Anhang klicken. Es wird nichts passieren. Und in dem Fall von heise hätte es auch geholfen. Zumal Sie hierzu bereits selber einen Artikel veröffentlicht haben:
https://www.heise.de/security/artik...-Sie-sich-vor-der-Trojaner-Welle-4243695.html

Dumm nur wenn man sich selber nicht dran hält.
 
  • Gefällt mir
Reaktionen: cruse
Ich finde die öffentliche Aufarbeitung durch heise vorbildlich.
Das in einem derart großem Unternehmen nicht mit abgeschalteten Makros gearbeitet werden kann völlig nachvollziehbar. Die bisherigen Veröffentlichungen lassen den Schluss zu das die zuständigen Admins genau richtig dieses Worst-Case Szenario eingedämmt und scheinbar auch bewältigt haben.

@Klikidiklik
Alles klar, alles Anfänger außer du, natürlich. 🙄
 
  • Gefällt mir
Reaktionen: Hayda Ministral und Drahminedum
In den heise-comments meinte jemand, dass es(die Fehlermeldung) scheinbar nur ein Bild war und wen man "enable editing" klickt, Macros aktiviert wurden.
Aber das war nur eine Vermutung seinerseits, da er selbst des Öfteren solche Phishing Mails untersucht.

Ansonsten sind die meisten comments Müll, da es den Leuten scheinbar immer schwerer fällt den kompletten Artikel zu lesen. Alles wird nur noch überflogen, damit man umso schneller Kommentieren kann.

Ich frage mich halt echt ob Macros aktiviert waren und wenn ja wieso?
Ich selbst nutze schon aus Gründen der Einfachheit keine Macros, auch wenn ich es hier und da gerne tun würde. Bei den Rechnern hier auf Arbeit sind sie durchgehend deaktiviert, man kann sie aber manuell aktivieren. Beim Start (des Dokuments) gibt's dann eine Abfrage. Genau wegen dieser Abfrage benutze ich sie nicht (es würde jeder auf Nein klicken und dann würde es immer nachfragen geben, warum das oder jenes jetzt nicht geht).
Mir fehlen auch die Kenntnisse ob und wie man solche Fragen unterbinden kann.
Mal abgesehen davon benutze ich Word nie, sondern nur Excel ^^
 
Zuletzt bearbeitet:
Klikidiklik schrieb:
Dumm nur wenn man sich selber nicht dran hält.
Wenn du den Artikel gelesen hast wirst du ja mitbekommen haben, dass die permanente Deaktivierung aller Makros auf allen Rechnern gar nicht möglich war. Ab und zu gibt es ein Restrisiko. Sicherlich wurden auch Fehler gemacht, aber einen 100-prozentigen Schutz wird es es nie geben. Dass sie sich nicht selber dran gehalten haben, stimmt so auch nicht. Die Heise-Redaktion ist selbst gar nicht betroffen, sondern ein anderer Unternehmensteil. Für deren IT sind ganz andere Personen zuständig und schon gar nicht die Leute der Heise Redaktion.
 
  • Gefällt mir
Reaktionen: sedot und Drahminedum
Zurück
Oben