Blog
Die Emotet-Story - eine fiktive Geschichte
20.10.2023
Diese fiktive Kurzgeschichte zeigt wie ein Cyberangriff auf ein Unternehmen ablaufen kann. Sie ist frei erfunden und erhebt keinen Anspruch auf 100%ige technische Korrektheit. Vielmehr soll sie sensibilisieren und aufklären.
Die Ausgangslage
Tom arbeitet bei ACME und ist dort unter anderem in der IT und für GoogleAds zuständig. Er sendet seit mehreren Jahren regelmäßig E-Mails mit Terminvorschlägen, 2do-Listen usw. an seine Ansprechpartnerin Jennifer vom GoogleAds-Team.
Die Angriffsvorbereitung
Schritt 1
Vor drei Wochen wurde der Arbeitsplatz-PC von Jennifer, nachdem sie ein schädliches Word-Dokument geöffnet und die Ausführung von Makros erlaubt hatte, mit Emotet infiziert. In der Folge wurden alle E-Mails der letzten 180 Tage aus ihrem Outlook-Postfach ausgelesen und an einen Emotet-Kontrollserver im Internet übermittelt. Dies betraf auch E-Mails von Tom.
Schritt 2
Bill hat vorletzte Woche auf seinem privaten PC in New York ein schädliches Dokument aus einer Emotet-Spam-Kampagne im Namen eines amerikanischen Paket-Dienstleisters geöffnet, wodurch auch sein System mit Emotet infiziert wurde. Dabei wurden die Zugangsdaten für sein E‑Mail-Konto aus der Konfiguration seines E-Mail-Programms ausgelesen und ebenfalls an einen Emotet-Kontrollserver übermittelt.
Schritt 3
Vor einigen Tagen wurde zudem der PC von Astrid aus Stockholm mit Emotet infiziert, wobei auch das Spam-Modul nachgeladen und installiert wurde. Das Spam-Modul nimmt seitdem regelmäßig Kontakt zu Emotet-Kontrollservern im Internet auf und bittet um Anweisungen zum Spam-Versand.
Der erste Coup
Der Kontrollserver übermittelt dem Spam-Modul die bei Bill ausgespähten Zugangsdaten für sein E-Mail-Konto sowie eine automatisch generierte vermeintliche Antwort auf eine bei Jennifer ausgespähte E-Mail von Tom mit einem schädlichen Word-Dokument als Dateianhang. Das Spam-Modul auf Astrids PC versendet darauf hin über das E-Mail-Konto von Bill eine E-Mail an Tom, wobei es den Absendernamen auf Jennifers Namen fälschte.
Der fatale Fehler
Tom wunderte sich ein wenig über die etwas ungewöhnliche Formulierung von Jennifer in der E-Mail, aber da er den Betreff und die zitierte Originalmail wiedererkannte, öffnete er das Word-Dokument aus dem Dateianhang ohne sich den Absender der E-Mail genauer anzusehen. Bei der daraufhin angezeigten Meldung zu einer fehlenden Aktivierung von Word fragte er sich kurz, was hier los ist – aber da er neugierig war, was Jennifer ihm geschrieben hatte, stimmte er der "Aktivierung von Inhalten" zu, wodurch das in dem Dokument enthaltene schädliche Makro ausgeführt wurde.
Der zweite Hieb
Nachdem nun auch der PC von Tom durch Emotet infiziert wurde, lädt dieses das Programm Trickbot nach. Trickbot kann Zugangsdaten der Benutzerkonten ausspähen (durch gefakte Anmeldemasken), an den Kontrollserver im Internet senden und dem Hacker Zugriff mit Domänenadministratorrechen auf das Active Directory von ACME gewähren.
Der finale Schlag
Über Nacht wurde nun auch die Ransomware Ryuk ausgerollt – die Täter hatten sich entschieden zuzuschlagen - woraufhin alle Daten der Server von ACME verschlüsselt wurden und nun eine Lösegeldsumme zur Entschlüsselung der Server gefordert wird.