G Data warnt

Erneut Ransomware-Attacke auf deutsche Firmen

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Angegriffen werden gezielt Personalabteilungen. Sie erhalten vermeintliche Bewerbungen. Die Angreifer passen ihre infizierten Mails nahezu täglich an.

Personalabteilungen deutscher Firmen werden derzeit gezielt mit E-Mails angegriffen. Die als Bewerbung gestalteten Anschreiben sehen sehr professionell und seriös aus. Darauf haben Experten der G DATA Security Labs hingewiesen. Die E-Mails weisen häufig angepasste, unterschiedliche Betreffzeilen und unterschiedliche Absender auf. So können sie Spam-Filter häufig passieren.

Alle von G DATA aktuell beobachteten Fake-Bewerbungen nutzen Frauennamen und enthalten Lebenslauf, ein Bewerbungsfoto und ein Anschreiben.
Alle von G DATA aktuell beobachteten Fake-Bewerbungen nutzen Frauennamen und enthalten Lebenslauf, ein Bewerbungsfoto und ein Anschreiben.
Foto: G Data

Im Anhang der E-Mails werden ein Bild der vermeintlichen Bewerberin sowie eine Zip-Datei mit zwei identischen, aber unterschiedlich benannten Dateien ausgeliefert. Beides sind ausführbare Dateien (.exe). Werden sie angeklickt, beginnen sie mit der Verschlüsselung des Rechners mit der symmetrischen Stromverschlüsselung Salsa20. Es ist zu befürchten, dass die verwendeten Bilder irgendwo aus dem Internet genommen wurden und die abgebildeten Personen weder etwas davon wissen noch mit den Angriffen in Zusammenhang stehen.

Die Angreifer verwenden das Ransomware-Framework GandCrab in Version 4. Dies ermittelt unter anderem den Nutzernamen, den PC-Namen, die Domäne, das Tastaturlayout sowie das Betriebssystem und speichert die öffentliche IP-Adresse. Auf einem Tor Hidden Service wird eine eindeutige URL generiert, unter der Anweisungen zur Zahlung gegeben werden. Der verlangte Betrag variiert in der Höhe.

"Personalabteilungen könnten Bewerbungen auf einem speziellen PC öffnen, der nicht mit dem restlichen Netzwerk des Unternehmens verbunden ist", rät Tim Berghoff, Security Evangelist bei G Data.
"Personalabteilungen könnten Bewerbungen auf einem speziellen PC öffnen, der nicht mit dem restlichen Netzwerk des Unternehmens verbunden ist", rät Tim Berghoff, Security Evangelist bei G Data.

"Die von uns erkannten und abgewehrten Bedrohungen richten sich vor allem an Unternehmen", sagt Tim Berghoff, Security Evangelist bei G DATA. "Die Kriminellen arbeiten sehr professionell, wir sehen im Unterschied zu anderen Ransomware-Kampagnen kaum orthographische Fehler. Außerdem wird bei jeder Malware-Welle ein professionell aussehendes Bewerbungsbild verwendet."

Fast täglich eine neue Fake-Bewerbung

Die Angriffe beobachtet G Data seit rund einer Woche. Seitdem wurde fast jeden Tag eine neue "Bewerbung" erstellt und versendet. Am Montag dieser Woche verwendeten die Angreifer den Namen Hannah Sommer. An den Tagen zuvor die Namen Viktoria Hagen, Caroline Schneider, Nadine Bachert und Sofia Bachmann.

Telemetriedaten von G Data zufolge nimmt die Anzahl der Erkennungen mit jeder Versandwelle zu. Das bedeute entweder, dass die Hintermänner mehr E-Mails versenden, oder sie inzwischen über einen besseren Datensatz mit einer größeren Anzahl tatsächlich aktiver Mail-Adressen verfügen.

"Personalabteilungen könnten Bewerbungen auf einem speziellen PC öffnen, der nicht mit dem restlichen Netzwerk des Unternehmens verbunden ist", rät Tim Berghoff, G DATA Security Evangelist. "Diese Vorsichtsmaßnahme gilt insbesondere dann, wenn Personalentscheidungen in kleineren Unternehmen noch direkt von der Geschäftsführung getroffen werden." Denn gerade Rechner aus der Geschäftsführung seien ein besonders attraktives Ziel für Kriminelle.

Zur Startseite