Bedrohung durch Emotet
Bei Emotet handelt es sich um eine Malware für PCs, die in den letzten Wochen
erheblichen Schaden auch im Bereich des Öffentlichen Dienstes angerichtet
hat (z.B. Kammergericht Berlin, Stadtverwaltung von Frankfurt am Main,
vermutlich Universität Giessen usw.). Die Infektion geschieht in der Regel
über Mails, die nur scheinbar von einer bekannten Person kommen und die einen
infizierten Anhang enthält. Da die gefälschten Mails sehr gut gemacht sind,
passiert es relativ leicht, dass jemand den Anhang öffnet. Das dann einmal
infizierte System kommuniziert dann mit ebenfalls verseuchten Servern
weltweit (den sog. Steuerungsservern), um von dort weitere Malware nachzuladen
oder Aufträge durchzuführen.
Die Liste dieser Steuerungsserver ändern sich ständig, da es sich dabei auch
um gehackte Systeme handelt. Unter anderem das Schweizerische CERT führt eine
ständig aktualisierte Liste der bekannten Steuerungsserver.
Was tut das Rechenzentrum zum Schutz vor Emotet?
Schon vor Weihnachten 2019 hat die Netzabteilung ein sog. "Blackhole"
eingerichtet. Das Blackhole verhindert, dass gehackte, lokale Hosts der Uni Freiburg Verbindung zu ihren externen Steuerungsservern aufnehmen können und folglich deutlich weniger Schaden anrichten können, z.B. dass keine weitere Malware nachgeladen werden kann. Da sich die Liste der Steuerungsserver ständig ändert, wird auch die Liste für das Blackhole alle ca. 30 Minuten aktualisiert.
Möglicherweise werden auch Kommunikationsverläufe mit solchen Adressen unterbunden, die eigentlich erwünscht sind, also tatsächlich mit dem Absender erfolgen sollen. Es wird jedoch davon ausgegangen, dass es mit hoher Wahrscheinlichkeit keine sinnvolle Kommunikation zu diesen Adressen geben dürfte.
Dieses Verfahren bietet natürlich keinen hundertprozentigen Schutz, da niemals
sicher ist, dass alle Steuerungsserver bekannt sind. Zudem wirkt dieses Verfahren
nur, wenn schon eine Infektion stattgefunden hat.
Zur raschen Eindämmung von Emotet wird aktuell jeder Rechner, der mit den externen Steuerungsservern kommunizieren will, umgehend vom Netz getrennt, sprich durch Abschalten der Netzwerkdose (kann im kabelgebundenen Netz zentral erfolgen) oder durch Sperren des RAS-Passworts (für WLAN- oder VPN-Nutzer). Parallel wird der/die Nutzer*in des Systems sowie der/die IT-Verantwortliche des Bereichs informiert.
Nach Klärung des Einzelfalls wird über das weitere Vorgehen entschieden, z.B. eine
Neuinstallation des Rechners. Angesichts des hohen Bedrohungspotenzials (Emotet nutzt auch Sicherheitslücken, um sich auf anderen Rechnern einzunisten) ist sofortiges Handeln geboten. Daher bitten wir dringend darum, dass eine Infektion nicht verschwiegen, sondern umgehend dem Rechnzentrum gemeldet wird, z.B. über eine Mail an beratung@rz.uni-freiburg.de
Im Zusammenhang mit Emotet ist ggfs. auch ein kleines Tool namens EmoCheck
interessant, auf das wir durch den Heise Verlag aufmerksam geworden sind.
Siehe Eintrag im RZ-Wiki dazu.
Ihr Rechenzentrum