Die IT-Sicherheitsexperten der PSW GROUP mahnen Personalabteilungen von Unternehmen zur Vorsicht: Cyber-Kriminelle greifen derzeit gezielt Personalabteilungen an, indem diese E-Mails mit angeblichen Bewerbungen versenden. Auf diese Weise wollen Angreifer die Sodinokibi-Ransomware verbreiten, die auch unter den Namen Sodin oder REvil bekannt ist. Wer den Anhang, also die vermeintliche Bewerbung öffnet, aktiviert sofort die Ransomware, die sämtliche Daten auf dem betroffenen Rechner verschlüsselt.
Für eine Entschlüsselung fordern die Erpresser einen Betrag von 0,16 Bitcoin – das sind umgerechnet etwa 1.180 Euro. Zahlt das Opfer nicht binnen einer Woche, so verdoppelt sich dieser Betrag. Als Absender sind neben Sandra Schneider bereits Martina Peters oder Sabine Lerche im Umlauf. „Es ist anzunehmen, dass sich die Cyber-Kriminellen nach und nach neue Namen überlegen, um den Erfolg der Angriffe mit der Sodinokibi-Ransomware hoch zu halten, warnen IT-Sicherheitsexperten.
Die erst seit Kurzem aktive Sodinokibi-Ransomware arbeitet offenbar mit derselben Infrastruktur, die die Macher des Verschlüsselungstrojaners GandCrab nutzen. Nachdem sie mit GandCrab rund 150 Millionen Dollar erbeutet haben, wollen sich die Kriminellen mit den erwarteten Einnahmen aus Sodinokibi in den Ruhestand verabschieden. Hinweise auf eine Verbindung zwischen den beiden Verschlüsselungstrojanern hat der Security-Blogger Brian Krebs dargelegt.
So berichtet er unter anderem, dass ein Cyber-Krimineller Anfang Mai in einschlägigen Untergrundforen weitere Kriminelle für ein neues Ransomware-Projekt rekrutieren wollte. Auch G DATA formulierte Ähnlichkeiten beider Verschlüsselungstrojaner, indem das Unternehmen darauf hinwies, dass „die Cyber-Kriminellen […] die gleiche Infrastruktur wie die Macher hinter dem Verschlüsselungstrojaner GandCrab [verwenden]“. „Die Sodinokibi-Ransomware aka REvil aka Sodin wurde darüber hinaus bereits über gefälschte E-Mails des Bundesamtes für Sicherheit in der Informationstechnik verteilt. In den Spam-Mails mit dem Trojaner an Bord wurde ein Datenmissbrauch vorgetäuscht und auf den Anhang verwiesen. Im anhängenden Zip-Archiv befand sich dann ein Downloader für die Sodinokibi-Ransomware“, informiert auch Patrycja Tulinska, Geschäftsführerin der PSW GROUP.
Dass Ransomware weiter auf dem Vormarsch ist, beweist ein alter Bekannter: Emotet, der im ersten Quartal dieses Jahres bereits sein Unwesen trieb, ist zurück. Erst kürzlich gab das BSI eine Meldung mit dem Titel „Zunahme von erfolgreichen Cyber-Angriffen mit Emotet“ heraus. Der Angriff über E-Mail war derart ausgeklügelt, dass sich nicht einmal ausgezeichnet informierte Unternehmen schützen konnten.
„Emotet und die Sodinokibi-Ransomware verteilen sich allerdings unterschiedlich. Die Cyber-Kriminellen hinter Emotet nutzen vorrangig das sogenannte Dynamit-Phishing, bei dem sich der Trojaner zwar automatisch, jedoch angepasst an seine „Zielumgebung“, beispielsweise ein bestimmtes Unternehmen, verbreitet. Die Sodinokibi-Ransomware hingegen nutzt jeden Angriff, der möglich ist: Wurden zuerst Sicherheitslücken in Server-Software ausgenutzt, phisht Sodin mittlerweile auch über groß angelegte Spam-Kampagnen, etwa per Mailvertising“, erklärt Tulinska.
Die IT-Sicherheitsexpertin rät deshalb einmal mehr zu äußerster Vorsicht in der E-Mail-Kommunikation: „Das eigene Personal muss unbedingt entsprechend geschult werden und bestimmte Verhaltensweisen beherzigen. Dazu gehört, auf das Nachladen von HTML-Inhalten zu verzichten und Nachrichten ausschließlich im Rein-Text anzeigen zu lassen. Das gilt auch für digital signierte E-Mails. Wenngleich Links und Befehle so zwar nicht automatisiert ausgeführt werden, ist das sicherer.“
Grundsätzlich sollten Anhänge mit Skepsis betrachtet und nur geöffnet werden, wenn sichergestellt ist, dass sie auch von diesem Absender stammen und er vertrauenswürdig ist – im Zweifelsfalle hilft eine Rückversicherung per Telefon. Zudem sollte nicht nur eine gute Anti-Viren-Software installiert sein, sondern diese auch durch regelmäßige Updates auf aktuellem Stand sein. Das gleiche gilt auch für Clients, Plugins und sonstige Software. „Eine zusätzliche Datensicherung auf einem externen, verschlüsselten Speichermedium garantiert im Fall einer erfolgreichen Cyber-Attacke, dass die Daten nicht gänzlich verloren sind und wieder aufgespielt werden können“, so Tulinska im Hinblick auf regelmäßige Daten-Backups. (rhh)
Mehr Details zum Angriff über Bewerbungen