Aktuelle Warnung aus dem MWK und vom BSI: verstärkt Emotet-Angriffe auf Hochschulen [19.12.19, AWI]
;

19. Dezember 2019

Update 15.01.2020 (CBö)

Es ist davon auszugehen, dass die Emotet-Betreibenden und auch andere Angreifende in den nächsten Tagen wieder aktiver werden, da sie vermutlich aus dem osteuropäischen/asiatischen Raum arbeiten und dort jetzt das neue Jahr begonnen hat. Demzufolge bitte weiterhin ein besonderes Augenmerk auf ankommende E-Mails legen!

Derzeit sind in den Spam-E-Mails hauptsächlich schadhafte Links enthalten (an Stelle von Dateianhängen). Diese Links können sofort nach Aufruf gefährlich sein. Diese URLs (Links) sind für die Abwehr von Emotet-Wellen wichtig, dies ist also genau die Information, die in Ihren Meldungen enthalten sein sollte. Bitte leiten Sie die Informationen am Besten als Text-E-Mail weiterleiten, da HTML-E-Mails Links als Hyperlink aufbereiten und sofort klickbar sind.

Sind potentiell schadhafte/gefährliche Dateien im Anhang, so leiten Sie diese bitte nur nach expliziter Aufforderung weiter.

Bitte melden Sie Verdachtsfälle an gitz-it-sicherheit@tu-braunschweig.de

Update 22.12.2019 (CBö)

Wie zu befürchten, macht Emotet auch nicht vor Weihnachtsgrüßen halt. In dieser Warnung von Microsoft sind Details zu sehen: https://twitter.com/MsftSecIntel/status/1205649865180688384

Update 20.12.2019; 12:30 Uhr (CBö):

Es hat sich herausgestellt, dass nicht nur Anhänge in E-Mails als Einfallstor für Schadsoftware infrage kommen. Bitte sind Sie ebenfalls vorsichtig beim Klicken auf Links! Vergewissern Sie sich telefonisch beim Versender der E-Mails bevor Sie auf Links klicken.

Als weitere Gefahrenquelle haben sich USB-Sticks herausgestellt. Es wurden an anderen Einrichtungen gezielt hinterlassene USB-Sticks gefunden. Bitte verbinden Sie keine USB-Sticks unbekannter Herkunft mit PCs. Gefundenen USB-Sticks geben Sie bitte unter Angabe von Fundort und -zeit im IT-Service-Desk ab.

Update 20.12.2019; 12:15 Uhr:

Ab sofort werden E-Mails mit Anhängen, die aus Officedokumenten mit Makros bestehen, nicht mehr für die E-Mail-Domänen „@tu-braunschweig.de“ und „@tu-bs.de“ angenommen. Der Versender einer solchen Mail wird von der Verweigerung der Annahme informiert.

Update 20.12.2019; 11:30 Uhr:

Stellen Sie sich darauf ein, nach der Rückkehr aus der Weihnachtschließung/dem Urlaub eine größere Anzahl von teils gut gemachten Phishing-Mails in Ihrem Postfach vorzufinden!

Auch wenn die Mails anscheinend von Ihnen bekannten Kontakten kommen:

 

Das Ziel der Angreifer ist es, den gesamten Dateibestand einer Organisation zu verschlüsseln. Eine Entschlüsselung ist in vielen Fällen technisch nicht möglich, auch nicht von den Angreifern selbst! Die Schadsoftware breitet sich nach der Erstinfektion innerhalb weniger Stunden in der gesamten Organisation aus!

Update: weitere Phishing-Welle

Neben den derzeit laufenden Emotet-/Ryuk-Kampagnen läuft zusätzlich eine kleinere Malware-Kampagne mit einem angehängten Word-DokumentSupport Greta Thunberg – Time Person oft he Year 2019.doc“.
Weitere Betreffs lauten
The biggest demonstration
Greta

Löschen Sie bitte diese Mails ohne sie vorher zu öffnen!

Ursprüngliche Meldung:

Aktuell (19.12.2019) meldet das für uns zuständige Ministerium:

Aktuell erreichen uns von einzelnen Hochschulen Mitteilungen, dass dort E-Mails von vermeintlichen Absendern aus dem Niedersächsischen Ministerium für Wissenschaft und Kultur (MWK) mit Verlinkungen zu Schadsoftware eingegangen sind.

Aktuell lässt sich noch nicht abschließend feststellen, ob ein Schadsoftwarebefall im MWK oder bei den bislang meldenden Hochschulen dafür verantwortlich sein kann.

Angesichts der derzeit stark auftretenden Emotet-Angriffen per E-Mail, die schon in mehreren Fällen zu Totalausfällen der IT von Hochschulen, Kommunen und Bundesbehörden geführt haben, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nochmals vor dieser Bedrohung.

Die Uni Gießen ist bereits seit einer Woche offline, auch die Katholische Hochschule Freiburg ist seit heute offline. Ebenfalls sind mehrere Kommunen/Städte und laut BSI auch Bundesbehörden betroffen.

Das BSI stuft die Bedrohungslage als „geschäftskritisch“ ein (BSI-2018-252439_v1.3_VCV).

„In der letzten Zeit ist es in der Bundesverwaltung zu einer Reihe von Vorfällen mit dem Schadprogramm
Emotet gekommen. Hierbei ist unter anderem E-Mail-Kommunikation abgeflossen.

Diese Kommunikation wird von Angreifern dazu genutzt, legitim aussehende Schadprogramm-E-Mails zu versenden. Überprüfen Sie mit einem angepassten 3-Sekunden-Sicherheitscheck Ihre E-Mails:

  1. Ist die Absende-Mailadresse bekannt?
  2. Ist der Betreff sinnvoll?
  3. Wird zu diesem Zeitpunkt ein Anhang von dieser E-Mail-Adresse erwartet?

Bitte beachten Sie, dass die in Ihrem verwendeten E-Mail-Programm angezeigte Absender-Adresse nicht mit dem tatsächlichen Absender übereinstimmen muss. Achten Sie daher bis auf Weiteres besonders darauf, auf welche Seiten Links in E-Mails verweisen. Öffnen Sie keine Office-Dokumente, welche von solchen Seiten heruntergeladen werden. Sollten Sie Anhänge von E-Mails öffnen, aktivieren Sie auf keinen Fall die Makros. Wenn Sie in einem Dokument aufgefordert werden die „Inhalte zu aktivieren“, ist dies ein eindeutiges Alarmsignal. Klicken Sie auf keinen Fall auf den Knopf ‚Inhalte aktivieren‘.

Weitere Informationen finden Sie unter anderem hier:

BSI:

Heise Verlag:

GITZ: