{"id":6904,"date":"2020-01-24T13:00:41","date_gmt":"2020-01-24T12:00:41","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=6904"},"modified":"2023-06-01T12:27:46","modified_gmt":"2023-06-01T10:27:46","slug":"achtung-angriffswelle","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/en\/2020\/01\/24\/achtung-angriffswelle\/","title":{"rendered":"Achtung \u2013 Angriffswelle!"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_6904 social_share_privacy clearfix 1.6.4 locale-en_US sprite-en_US\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_6904')){$('.twoclick_social_bookmarks_post_6904').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/en\\\/2020\\\/01\\\/24\\\/achtung-angriffswelle\\\/\",\"post_id\":6904,\"post_title_referrer_track\":\"Achtung+%E2%80%93+Angriffswelle%21\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div>\r\n<p>Vielleicht habt Ihr es bereits mitbekommen, dass zurzeit merkw\u00fcrdige E-Mails ihr Unwesen treiben. \u00dcber Hintergr\u00fcnde und aktuelle Angriffswellen kl\u00e4ren wir Euch heute auf.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<h3 class=\"wp-block-heading\">Der Virus<\/h3>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Bei der Virusgruppe <a href=\"https:\/\/www.bsi-fuer-buerger.de\/BSIFB\/DE\/Service\/Aktuell\/Informationen\/Artikel\/emotet.html\">Emotet<\/a> handelt es sich um sogenannte Trojaner, die vor allem \u00fcber Spam-E-Mails verbreitet werden. Die infizierte E-Mail enth\u00e4lt zumeist ein b\u00f6sartiges Dokument mit aktivierten Makros, kann aber auch Anh\u00e4nge oder Links enthalten, die zu solch einem Dokument weiterleiten.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<div class=\"wp-block-image\">\r\n<figure class=\"aligncenter\">\r\n<div id=\"attachment_6905\" style=\"width: 747px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6905\" class=\"wp-image-6905\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet_1.jpg\" alt=\"Die Infektionsstufen von Emotet. \r\nQuelle: Internet Storm Center\" width=\"737\" height=\"577\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet_1.jpg 737w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet_1-300x235.jpg 300w\" sizes=\"auto, (max-width: 737px) 100vw, 737px\" \/><p id=\"caption-attachment-6905\" class=\"wp-caption-text\">Die Infektionsstufen von Emotet. <br \/>Quelle: <a href=\"https:\/\/isc.sans.edu\/diary\/Emotet+infection+with+IcedID+banking+Trojan\/24312\">Internet Storm Center<\/a><\/p><\/div>\r\n<\/figure>\r\n<\/div>\r\n\r\n\r\n\r\n<p><!--more--><\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Ob getarnt als vermeintlich harmlose Bewerbung, Nachricht von einem bekannten Kontakt oder Rundschreiben von der Firmenleitung \u2013 der Virus hat viele Gesichter. Und genau das macht ihn so gef\u00e4hrlich.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<div class=\"wp-block-image\">\r\n<figure class=\"aligncenter\">\r\n<div id=\"attachment_6906\" style=\"width: 923px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6906\" class=\"wp-image-6906\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet_2.jpg\" alt=\"Eine harmlose E-Mail mit Word-Datei im Anhang. \r\nQuelle: Internet Storm Center\" width=\"913\" height=\"559\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet_2.jpg 913w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet_2-300x184.jpg 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet_2-768x470.jpg 768w\" sizes=\"auto, (max-width: 913px) 100vw, 913px\" \/><p id=\"caption-attachment-6906\" class=\"wp-caption-text\">Eine harmlose E-Mail mit Word-Datei im Anhang. <br \/>Quelle: <a href=\"https:\/\/isc.sans.edu\/diary\/Emotet+infection+with+IcedID+banking+Trojan\/24312\">Internet Storm Center<\/a><\/p><\/div>\r\n<\/figure>\r\n<\/div>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<h3 class=\"wp-block-heading\">Wieso verbreitet sich Emotet so rasant?<\/h3>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Die Schadsoftware ergreift Besitz von Eurem Adressbuch und versendet sich selbst an alle dort auffindbaren Kontakte, also beispielsweise Eure Freunde, Familienangeh\u00f6rigen, Kollegen oder Kommilitonen. Dabei wird als Absender dieser E-Mail euer Name verwendet. Da die versendete Nachricht zun\u00e4chst nicht verd\u00e4chtigt aussieht, sondern wie eine ganz normale E-Mail, verleitet dies eure Kontakte dazu, selbst auf den Schadcode hereinzufallen.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Die Schadsoftware ist deshalb so gef\u00e4hrlich, weil sie versucht, andere Rechner zu infizieren, die sich im gleichen Netzwerk befinden.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<h3 class=\"wp-block-heading\">Was richtet Emotet an?<\/h3>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Der Code von Emotet wird bei jedem Abruf leicht ver\u00e4ndert, um einer Erkennung durch signaturbasierte Virenscanner zu entgehen. Man bezeichnet solche Schadsoftware auch als polymorphen Schadcode.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Zudem kann Emotet vom Angreifer \u201eferngewartet\u201c werden. Das bedeutet, es werden unbemerkt Updates aufgespielt, die Befehle ausf\u00fchren oder die Funktionsweise des Sch\u00e4dlings so ver\u00e4ndern, dass er unentdeckt bleibt.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Der Virus \u00f6ffnet zudem h\u00e4ufig die T\u00fcre f\u00fcr weitere Schadsoftware, wie zum Beispiel Banking-Trojaner oder auch Erpressungssoftware, die euren Computer sperren oder auch Daten l\u00f6schen k\u00f6nnen.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Egal ob Privatperson, Kleinunternehmen, multinationaler Konzern oder Hochschulen: Alle sind bereits Opfer von Emotet geworden. Gerade diese Vielseitigkeit macht den Virus so gef\u00e4hrlich und unberechenbar.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<h3 class=\"wp-block-heading\">Wie kann man sich vor Emotet sch\u00fctzen?<\/h3>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Auch wenn Euch der Absender bekannt vorkommt: Klickt auf keinen Fall unbedacht auf Anh\u00e4nge oder Links in E-Mails. Bei einer verd\u00e4chtigen E-Mail solltet Ihr den Absender pers\u00f6nlich kontaktieren.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Haltet zudem alle Betriebssysteme und Softwareprogramme (z.B. Microsoft Office) stets auf den aktuellsten Stand. Noch wichtiger ist es jedoch, keine Makros in den Softwareprogrammen auszuf\u00fchren.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<div class=\"wp-block-image\">\r\n<figure class=\"aligncenter\">\r\n<div id=\"attachment_6907\" style=\"width: 648px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6907\" class=\"wp-image-6907\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet-3.jpg\" alt=\"Letzte Warnung von Word, bevor sich der Virus ausbreiten kann - auf keinen Fall die Makros aktivieren! \r\nQuelle: Internet Storm Center\" width=\"638\" height=\"443\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet-3.jpg 638w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2020\/01\/Emotet-3-300x208.jpg 300w\" sizes=\"auto, (max-width: 638px) 100vw, 638px\" \/><p id=\"caption-attachment-6907\" class=\"wp-caption-text\">Letzte Warnung von Word, bevor sich der Virus ausbreiten kann &#8211; auf keinen Fall die Makros aktivieren! <br \/>Quelle: <a href=\"https:\/\/isc.sans.edu\/diary\/Emotet+infection+with+IcedID+banking+Trojan\/24312\">Internet Storm Center<\/a><\/p><\/div>\r\n<\/figure>\r\n<\/div>\r\n\r\n<h3 class=\"wp-block-heading\">Was tun, wenn es Euch doch erwischt hat?<\/h3>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Schaltet umgehend den Rechner aus und informiert pers\u00f6nlich eure E-Mail-Kontakte \u00fcber den Vorfall, um diese vorzuwarnen.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Solltet Ihr diese infizierten E-Mails auf Eure RWTH-E-Mail-Adresse erhalten haben, gilt wie immer: Nicht anklicken! Schickt die verd\u00e4chtige <a href=\"https:\/\/doc.itc.rwth-aachen.de\/display\/EML\/Mails+als+Anhang+weiterleiten\">E-Mail als Anhang<\/a> an unser <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/Services\/Support-Moeglichkeiten\/~smkoi\/IT-ServiceDesk\/?lidx=1\">IT-ServiceDesk <\/a>zur weiteren Behandlung. Solltet ihr Euch infiziert haben, meldet Euch im <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/Services\/Support-Moeglichkeiten\/~smkoi\/IT-ServiceDesk\/?lidx=1\">IT-ServiceDesk<\/a>.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Weitere hilfreiche Informationen zum Fall Emotet findet Ihr auch auf den Webseiten der <a href=\"https:\/\/www.allianz-fuer-cybersicherheit.de\/ACS\/DE\/Informationspool\/Themen\/Emotet\/emotet_node.html\">Allianz f\u00fcr Cybersicherheit<\/a> und der <a href=\"https:\/\/t.co\/qYMs8IWv2F?amp=1\">DFN-CERT<\/a>.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>\u00dcber weitere Entwicklungen werden wir auf unseren Kan\u00e4len berichten.<\/p>\r\n\r\n<p>&nbsp;<\/p>\r\n\r\n<p>Verantwortlich f\u00fcr die Inhalte des Beitrags sind <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x557BA092EFB82F45A9305B664D9E72B9&amp;allou=1\">Jens Hektor<\/a>, <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x0EC9C01F8EFF104B810E20F8F5820CD8&amp;allou=1\">Linda J\u00f6rres<\/a> und <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x178A69B715E4B24AB87DCFA4BC438FD7&amp;allou=1\">Nicole Kaminski<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Sorry, this entry is only available in Deutsch.<\/p>\n","protected":false},"author":2051,"featured_media":6906,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[314],"tags":[73,61,49],"class_list":["post-6904","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheit","tag-emotet","tag-it-sicherheit","tag-spam"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/posts\/6904","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/users\/2051"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/comments?post=6904"}],"version-history":[{"count":6,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/posts\/6904\/revisions"}],"predecessor-version":[{"id":15927,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/posts\/6904\/revisions\/15927"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/media\/6906"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/media?parent=6904"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/categories?post=6904"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/en\/wp-json\/wp\/v2\/tags?post=6904"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}