Microsoft: Emotet-Malware bringt ein ganzes Netzwerk durch Überhitzung der PCs zum Stillstand

Microsofts Cybersecurity Solutions Group’s Detection and Response Team (DART) gab am Donnerstag bekannt, dass das gesamte IT-Netzwerk eines Kunden durch überhitzte Computer aufgrund einer Emotet-Malware lahmgelegt wurde, nachdem einer seiner Mitarbeiter in die Falle eines Phishing-E-Mail-Anhangs getappt war.

Die Malware infizierte die Systeme von Fabrikam (ein fiktiver Name, den Microsoft für das Opfer in seiner Fallstudie verwendet) und stahl die Anmeldedaten des Administrators, um sich auf neuen Systemen zu authentifizieren.

Später führte sie laterale Bewegungen durch, indem sie andere Systeme im selben Netzwerk infizierte. Der Virus fror die Kernservices ein, indem er die CPU-Auslastung auf Windows-Geräten maximierte.

Auch lesen - Emotet-Malware kann sich über Wi-Fi-Netzwerke verbreiten

„Wir freuen uns, den DART Fallbericht 002: Vollständiger Betriebsausfall zu teilen. In Bericht 002 behandeln wir ein tatsächliches Incident-Response-Engagement, bei dem eine polymorphe Malware sich durch das gesamte Netzwerk einer Organisation verbreitete“, heißt es in der Ankündigung von Microsoft DART.

„Nachdem eine Phishing-E-Mail Emotet, einen polymorphen Virus, der sich über Netzwerkfreigaben und veraltete Protokolle verbreitet, ausgeliefert hatte, brachte der Virus die Kernservices der Organisation zum Stillstand. Der Virus umging die Erkennung durch Antivirenlösungen durch regelmäßige Updates von einer vom Angreifer kontrollierten Command-and-Control (C2)-Infrastruktur und verbreitete sich durch die Systeme des Unternehmens, was zu Netzwerkunterbrechungen führte und essentielle Dienste für fast eine Woche lahmlegte.“

Laut Microsoft rief Fabrikam DART acht Tage nach dem Öffnen der Phishing-E-Mail an. Zu diesem Zeitpunkt waren die gesamten IT-Betriebe von Fabrikam zum Stillstand gekommen, einschließlich des Netzwerks mit 185 Überwachungskameras aufgrund der Emotet-Malware.

Experten beobachteten, dass die PCs überhitzten, einfrohr und neu starteten, während die Internetverbindungen aufgrund der von Emotet verbrauchten Bandbreite leicht langsamer wurden.

„Als die letzten ihrer Maschinen überhitzten, wusste Fabrikam, dass das Problem offiziell außer Kontrolle geraten war. ‚Wir wollen diese Blutung stoppen‘, würde ein Beamter später sagen“, heißt es im DART-Fallstudienbericht.

„Ihm war gesagt worden, dass die Organisation ein umfangreiches System zur Verhinderung von Cyberangriffen hatte, aber dieser neue Virus umging alle ihre Firewalls und Antivirensoftware. Jetzt, während sie zusahen, wie ihre Computer einer nach dem anderen den blauen Bildschirm zeigten, hatten sie keine Ahnung, was sie als Nächstes tun sollten.“

Die Malware nutzte die kompromittierten Computer des Mitarbeiters, um einen Distributed Denial of Service (DDoS) zu starten und das Netzwerk zu überlasten.

„Beamte gaben bekannt, dass der Virus alle Systeme von Fabrikam bedrohte, sogar das Netzwerk mit 185 Überwachungskameras“, sagt der DART-Bericht.

„Die Finanzabteilung konnte keine externen Banktransaktionen abschließen, und Partnerorganisationen konnten auf keine von Fabrikam kontrollierten Datenbanken zugreifen. Es war Chaos.

„Sie konnten nicht sagen, ob ein externer Cyberangriff von einem Hacker den Ausfall verursacht hatte oder ob sie es mit einem internen Virus zu tun hatten. Es hätte geholfen, wenn sie überhaupt auf ihre Netzwerkaccounts zugreifen könnten.

„Emotet verbrauchte die Bandbreite des Netzwerks, bis es praktisch unmöglich wurde, sie für irgendetwas zu nutzen. Sogar E-Mails konnten nicht durchkommen.“

Microsoft-Experten kontrollierten erfolgreich die Emotet-Infektion, indem sie Asset-Kontrollen und Pufferzonen verwendeten, die Assets mit Administratorrechten isolierten. Sie entfernten die Emotet-Infektion vollständig, nachdem sie Antivirensignaturen hochgeladen und Testlizenzen von Defender Advanced Threat Protection, Azure Security Scan, Azure Advanced Threat Protection-Diensten und anderen speziellen Malware-Erkennungstools von Microsoft bereitgestellt hatten.

Zusätzlich reparierten vor Ort tätige Reverse Engineers den Microsoft System Center Configuration Manager, sodass Fabrikam wieder auf die Beine kam.

Microsoft empfiehlt Benutzern, E-Mail-Filtertools wie Office 365 Advanced Threat Protection (ATP) zu verwenden, um die Verbreitung der Emotet-Malware zu erkennen und zu stoppen, sowie die Verwendung von Multi-Faktor-Authentifizierung (MFA), um solche Angriffe zu verhindern.