Best-of-Thread aus dem T-Systems-Forensik_Bericht_Public_V1 zum #Emotet-Befall beim #Kammergericht Berlin:

"Durch Untersuchung eines Clients ist eine Infektion ab spätestens 20.09.2019 um 17:52 nachgewiesen." (1/10)

"Eine Infektion über einen USB-Stick kann weder ausgeschlossen, noch nachgewiesen werden.
Der genaue Infektionsweg kann nicht bestimmt werden." (2/10)

"Die ersten Indikatoren deuteten auf einen schwerwiegenden Fall einer Emotet Infektion mit nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und Daten des Kammergerichts hin." (3/10)

"Die Sicherheitseventlogs reichen lediglich vom 16.10.2019 um 13:10:06 bis zum 14.10.2019 um 13:23:37 zurück. Die Dateigröße von 128MB deutet auf das Erreichen der maximalen Logfilegröße hin." (4/10)

"Aufgrund der Netzwerkstruktur des KG ließ sich nicht klar definieren welche Bereiche des Netzwerks betroffen/nicht betroffen sind. Zudem wäre es einem motivierten Angreifer möglich gewesen diese Netzstruktur auszunutzen, um fast jedes Gerät zu infizieren." (5/10)

"Emotet selbst lud auf dem untersuchten Computer die eigentliche Schadware TrickBot nach. TrickBot ist in der Lage beliebige Schadmodule auszuführen. Auf dem untersuchten Computer ließen sich drei Module identifizieren:" (6/10)

"• Auf dem System gespeicherte Passwörter (insbesondere Browserpasswörter) werden extrahiert und an die Angreifer weitergeleitet.
• Dem Nutzer werden im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking Webseiten." (7/10)

"• Informationen über die Systeme werden dem Angreifer zugespielt." (8/10)

"Die besondere Schwere des Angriffs liegt in der fehlenden Netzwerksegmentierung des KG sowie lokale Administratorenaccounts der Nutzer. Auch erschwert das fehlende Logging am Proxyserver, welches erst nach Bekanntwerden des Incidents aktiviert wurde, die Aufklärung." (9/10)

"Die Erkennung der auf den Systemen gefundenen Malware Varianten durch die Endpoint Protection Lösung von McAfee war zum Zeitpunkt der Infektion nicht gegeben." (10/10)