15.06.2021
Die Gruppe hinter der Ransomware (Erpressungstrojaner) Avaddon hat angekündigt, dass sie ihr Geschäft aufgegeben haben. Es wurden in diesem Zusammenhang ca. 3000 Keys zur Entschlüsselung veröffentlicht; die Echtheit dieser wurde von einigen Sicherheitsforschern sowie Antiviren-Herstellern geprüft und bestätigt.
11.03.2021
Am 02. März 2021 [1] gab Microsoft bekannt, dass vier Zero-Day Schwachstellen im Exchange Server aktiv ausgenutzt werden, die zusammen Angreifern weitreichende Kompromittierungen ermöglichen können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft in diesem Zusammenhang die Bedrohungslage Rot aus:
Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden.
Die Schwachstellen können zwar mit Einspielen der Out-of-Band Patches vom 03. März geschlossen werden, jedoch kann eine vorherige Kompromittierung zur Folge haben, dass Angreifer bereits Ihre Netzwerke gekapert haben. In diesem Sinne muss auch nach Einspielen der Patches trotzdem untersucht werden, ob eine Kompromittierung vorhanden ist. Ein Handeln ist erforderlich!
Update vom 12.03.2021
Im Internet kursieren jetzt die ersten Meldungen darüber, dass Angreifer unter Nutzung der Exchange Schwachstellen Systeme verschlüsselt haben:
Es ist davon auszugehen, dass finanziell-motivierte Täter diese Schwachstellen zeitnah verstärkt ausnutzen werden.
Maßnahmen
Informieren Sie sich umgehend, ob Sie betroffen sein könnten. Wenn dies der Fall ist, sollten Sie von einer Kompromittierung ausgehen und umgehend den Maßnahmen des BSI folgen: https://bsi.bund.de/exchange-schwachstellen
Das BSI hat viele Informationen aus verschiedenen Quellen zur Verfügung gestellt, inklusive Hilfen zur Detektion und Reaktion bei Betroffenheit.
Wenn Sie in Niedersachsen als Unternehmen oder Behörde betroffen sind, melden Sie sich gerne bei uns.
Weitere Phantasie-Rechnungen im Umlauf - u.a. ProLifeGroupUG und IP Uberwachungs
05.02.2021 Bereits im Februar vor einem Jahr haben wir vor einer Masche gewarnt, um ahnungslosen Geschäftsleuten das Geld aus der Tasche zu ziehen. Dabei wurden damals Phantasierechnungen im Namen einer angeblichen United Hosting Deutschland per Mail versendet. Jetzt sind innerhalb kurzer Zeit zwei weitere Varianten bei uns im Trojanerkonto aufgetaucht. Diese möchten wir gerne kurz vorstellen, denn in Zeiten der Corona-Pandemie sind viele Geschäftsabläufe vermutlich noch anfälliger für derartige Betrugsversuche.
1. Variante der sogenannten IP Uberwachungs:
ip uberwachungs los angeles platz hamburg geistigem Eigentum registrierung
2. Variante einer sogenannten ProLifeGroupUG:
prolifegroup hemer rechnung antisepticum curaman plus
Update vom 23.06.2021: Es sind offenbar weitere Varianten von den folgenden Absendern im Umlauf:
IP Alpenlander
Weblizenz Sicherheit
Zunächst: Reagieren Sie nicht auf diese Rechnungen! Es handelt sich um Fakes.
Weitere Tipps und Hinweise:
Rufen Sie sich ins Bewusstsein, bei welchem Anbieter Sie Dienstleistungen oder Waren bestellt haben.
Prüfen Sie und Ihre Mitarbeiter/innen jede Rechnung auf Plausibilität.
Halten Sie im Zweifel Rückfrage beim Rechnungsersteller und zwar auf einem alternativen Kommunikationsweg. Recherchieren Sie dazu die Firma und Erreichbarkeit im Internet.
Fragen Sie ggf. bei Vorgesetzten nach wenn Sie unsicher sind!
Leiten Sie uns diese Form von E-Mails immer gerne an unsere Trojaner-E-Mail-Adresse trojaner@polizeilabor.de weiter. Sie leisten damit einen wertvollen Beitrag und tragen dazu bei, dass andere gewarnt werden.
Wenn Sie Anzeige erstatten möchten, suchen Sie Ihre örtliche Polizei-Dienststelle auf oder nutzen Sie gern auf Grund der aktuellen Kontaktbeschränkungen die für Ihr Bundesland zuständige Onlinewache. In Niedersachsen ist diese beispielsweise unter https://www.onlinewache.polizei.niedersachsen.de/ erreichbar.
Ransomware (Erpressungstrojaner, Verschlüsselungstrojaner) ist seit Jahren eine der größten Bedrohungen im digitalen Raum, sowohl für private als auch gewerbliche Nutzer und Netzwerke. Ein schwerer Vorfall kann nicht nur einen kompletten Datenverlust bedeuten, sondern auch die Veröffentlichung sensibler oder geheimer Daten.
In den letzten Monaten haben wir einen deutlichen Anstieg der Vorfälle in Niedersachsen beobachtet; diese Entwicklung spiegelt sich weltweit wider. Mit diesem Post wollen wir nochmal das Thema aufgreifen, aktuelle Information mitteilen und einige Vorschläge geben, wie Sie sich präventiv schützen können und was bei einem Vorfall zu beachten ist.
_CL0P^_ Ransomware Veröffentlichungen im TOR Netzwerk. Die von CL0P ausgespähten Daten werden bei Nichtzahlung hier veröffentlicht.
Aktuelles
Im Jahr 2020 ist ein Anstieg in der Anzahl der Ransomware-Vorfälle zu verzeichnen [1, 2]; das geforderte Lösegeld ist auch gestiegen [3].
Infektionswege sind überall, wo eine Verbindung zum Internet möglich ist. Häufig erfolgt die Erstinfektion über eine schadhafte E-Mail; ebenso häufig in letzter Zeit sind Fernzugänge (RDP, VPN), z.B. für Home-Office, vertreten.
In vielen Fällen ist eine mehrstufige Kompromittierung vorhanden: initiale Kompromittierung via E-Mail, Ausspähung von Daten, Ransomware wird zu einem späteren Zeitpunkt, d.h. manchmal Wochen bis Monate später nachgeladen.
Bei solchen Angriffen sind oft verschiedene Tätergruppierungen aktiv: Der Zugang wird ermöglicht und weiterverkauft von Gruppe A, Gruppe B kauft sich Zugänge zu lukrativen Zielen und verschlüsselt die Systeme [4].
Viele Ransomware-Varianten leiten jetzt Daten aus bevor sie verschlüsseln: wird nicht bezahlt, bleiben Ihre Daten verschlüsselt und die zuvor ausgespähten Daten werden zusätzlich im Internet (vorzugsweise Darknet bzw. TOR) veröffentlicht.
Ausgespähten Daten werden nach Zahlung des Lösegeldes nicht immer gelöscht; manchmal werden Daten trotzdem von den Tätern veröffentlicht, manchmal erfolgt eine zweite Erpressung [5].
Wie bei CL0P betreiben weitere Ransomware Akteure wie DoppelPaymer und RagnarLocker auch sogenannte "shaming" Seiten im TOR Netzwerk.
Was Sie tun können
Ihre Aktionen vor und während eines Ransomware-Vorfalls können große Auswirkungen haben. Die folgenden Tipps zusätzlich zu allgemeinen IT-Sicherheitsvorkehrungen wie Antiviren-Software, Backups, gute Passwörter und aktuelle Systeme können Ihnen helfen, sich bzw. Ihre Organisation gegen einen Ransomware-Vorfall zu schützen.
Die meisten Tipps hier sind unabhängig vom Betriebssystem, allerdings beziehen sich einige direkt auf Windows Systeme und Netzwerke bzw. Active-Directory Umgebungen.
Im Voraus
Präventiv kann man einiges tun, um das Schadenspotential eines (Ransomware-) Angriffs zu begrenzen:
Backups: Datensicherungen (Backups) sind eine der wichtigsten Maßnahmen und sollten regelmäßig erstellt und geprüft werden. Zusätzlich ist die 3-2-1-Regel zu empfehlen: drei Kopien des Backups auf zwei verschiedenen Medien, mit einer Offline-Kopie.
E-Mail-Filterung: Nachrichten mit verdächtigem Inhalt (definierte Betreffe, Anhänge, Absender-Adressen, usw.) sollten direkt blockiert werden. Zusätzlich sollten Makros in über E-Mail empfangenen MS-Office Dateien deaktiviert werden [6]. Andere Mechanismen wie DMARC und SPF helfen, betrügerische Mails zu identifizieren. Nicht nur im Zusammenhang mit Ransomware, sondern auch bei den Betrugsvarianten CEO-Fraud bzw. Rechnungsmanipulation.
Aktuelle Systeme: Systeme und Software regelmäßig aktualisieren, insbesondere die aus dem Internet zugänglichen Systeme [6].
Segmentierung: das Netzwerk in kleinere Subnetzwerke einteilen, die nicht oder nur bedingt miteinander kommunizieren können, hilft dabei, die Ausbreitung von Schadsoftware (und somit die Schäden bei einem Vorfall) begrenzt zu halten.
Logs: Die Auswertung von Netzwerk-Logdaten spielt eine zentrale Rolle bei einem Vorfall: damit lassen sich u.a. das Ausmaß des Vorfalls feststellen und ggf. den Infektionsweg ermitteln. Logging sollte regelmäßig erfolgen und Logs sollten sicher (und zentral) aufbewahrt werden. Überwachung der Logdaten auf Auffälligkeiten kann helfen, Angriffe frühzeitig zu erkennen [6, 7].
Blocklisten: Netzwerkkommunikation mit bekannten Malware C2 (Command & Control) Servern kann anhand öffentlich verfügbarer Listen überwacht oder blockiert werden [7]. Solche Listen sind beispielsweise hier zu finden [8].
Kommunikationswege reduzieren: die Menge der Kommunikationswege zwischen den einzelnen Systemen im eigenen Netzwerk (-segment) sollte auf das Nötigste reduziert werden: SMB, RDP, WMI, Windows Remote Management, Remote Powershell im internen Netzwerk unterbinden, wenn nicht zwingend notwendig. Diese Dienste und Ports sind die am häufigsten benutzten Verbreitungs- und Verteilwege innerhalb eines Netzwerkes [9].
Sind solche Verbindungen doch notwendig, kann man gezielte Ausnahmen zulassen. Stellen Sie dann sicher, dass aktuelle (gepatchte) Versionen dieser Dienste verwendet werden.
Fernzugänge absichern: sind Fernzugänge (wie RDP) vorhanden, sollten diese geschützt werden: Zwei-Faktor-Authentifizierung, Zugriff nur von bestimmten Quell-Adressen, Zugriff nur für bestimmte Nutzer*innen, Benutzung von VPN- bzw. RDP-Gateways [6, 7, 10].
Passwort Sicherheit: Lokale-Administrator Konten werden häufig benutzt, um sich durch Netzwerke zu bewegen. Werden identische Admin-Passwörter über mehrere Rechner verwendet, wird das besonders einfach gemacht. Microsoft hat hierzu ein Security Advisory (KB2871997) [9].
Least-Privilege: Konten mit erhöhten netzwerkweiten Rechten sollten nur von besonders dafür designierten Systemen benutzt werden. Eine Anmeldung mit solchen Konten auf normalen Endgeräten sollte nicht möglich sein. Ausführliche Information und SOLL-Regelungen zum Schutz des privilegierten Zugriffs in Active-Directory Umgebungen beschreibt Microsoft in [11].
Kritische Systeme (z.B. Domain Controller) sollten bei einem Vorfall schnell isoliert werden können [9].
GPO Sicherheit: Ransomware benutzt oft Group Policy Objects, um sich in einem Netzwerk auszubreiten. Konten, die mehrere GPOs verwalten, sollten besonders geschützt sein. Besonders geschützt sollten auch die GPOs sein, die Sicherheitseinstellungen für mehrere Geräte verwalten [9].
Externe Dienstleister berücksichtigen: Hard- und Software von externen Dienstleistern, z.B. Telefonserver, die vom jeweiligen Provider verwaltet werden, sollten geprüft werden. In welchem Netzwerk (-segment) ist sowas zu finden? Verfügen diese Geräte (und somit ggf. die Verwalter dieser) über besondere Rechte im Netzwerk? Ein Vorfall bei einem externen Dienstleister kann in solchen Fällen für die eigene IT gravierende Folgen haben [6].
Planen und üben: Das BSI empfiehlt Planbesprechungen und Ãœbungen im Voraus, um auf einen Vorfall vorbereitet zu sein [7]. Hier können sogenannte Penetrationstests sehr hilfreich sein.
Versicherung: eine Cyber-Versicherung kann sinnvoll sein, denn hier besteht oft die Möglichkeit, bei einem Vorfall technische Expertenhilfe schnell zu bekommen.
Während des Vorfalls
Bei einem laufenden Angriff ist die Eindämmung der Ausbreitung und somit der Schäden von größter Bedeutung. Die folgenden Sofortmaßnahmen sind zu empfehlen [12]:
Isolation: alle (potenziell-) infizierten Systeme sind sofort zu isolieren: Netzwerkverbindung von betroffenen Systemen trennen. Nur wenn diese sich nicht vom Netzwerk trennen lassen sollten sie heruntergefahren werden.
Kritische Systeme schützen: auch die kritischen Systeme können (und sollten) zu ihrer Sicherheit isoliert und erst nach Klarmeldung wieder in Betrieb genommen werden.
Out-of-Band Kommunikationen: die fremde Überwachung der eigenen Aktivitäten und Kommunikationen (E-Mail) ist nach einem Vorfall möglich [6]; man sollte daher ein anderes Kommunikationsmittel benutzen, bis die Situation unter Kontrolle gebracht wurde.
Vorfall kommunizieren: der Vorfall sollte intern klar kommuniziert werden. Auch die Mitteilung nach außen (Kunden, Partner) kann sinnvoll sein, da manche Schadsoftware sich beispielsweise schnell im Namen des Opfers und unter Verwendung echten Mailverkehrs weiterverbreitet.
Prüfung privilegierter Konten: Admin-Konten sollten geprüft werden: sind alle bekannt und legitim? Sind existierende Konten mit neuen Rechten erweitert worden? Sind sonst legitim erscheinenden Zugriffe zu ungewöhnlichen Zeiten erfolgt?
Infrastruktur prüfen: die Infrastruktur sollte auch auf Unregelmäßigkeiten geprüft werden. Sind neue und/oder unbekannte Systeme, (virtuelle-) Maschine oder sonstige Geräte vorhanden?
Netzwerkverkehr prüfen: ungewöhnliche Aktivitäten wie fehlgeschlagene DNS-Auflösungen, Datenverkehr in großen Mengen oder zu ungewöhnlichen Zeiten kann Hinweise auf Schadsoftware liefern [7]. Auch sind neue oder geänderte Freigaben im Netzwerk oft ein Zeichen eines Befalls.
Beweissicherung: forensische Abbildungen sind für die Beweissicherung wichtig. Diese sind möglichst am Live-System anzufertigen, da nur so die flüchtigen Daten (wie aus dem Arbeitsspeicher) gesichert werden können. Hierfür ist oft spezielle Unterstützung notwendig, wie von einem IT-Dienstleister oder ggf. der Polizei.
Nach dem Vorfall
Ist der Angriff vorbei egal ob er erfolgreich eingedämmt oder gar abgewehrt werden konnte, bleibt neben der Wiederherstellung der Systeme auch noch festzustellen, wie es zu dem Vorfall gekommen ist und wie man sich zukünftig dagegen schützen kann. Hierzu hat u.a. das BSI ausführliche Information bereitgestellt [12].
Infizierte Systeme sollten als vollständig kompromittiert betrachtet werden [7]. Zugangsdaten, die auf diesen Systemen benutzt wurden, sollten auch als kompromittiert gelten.
Kompromittierte Systeme sollten von "sauberen" Backups wiederhergestellt werden.
Sind Backups nicht verfügbar, sollten die Systeme neu aufgesetzt werden.
Verschlüsselte Daten sollten dabei aufbewahrt werden und nicht bei einer Neuinstallation oder Wiederherstellung überschrieben werden. Die Aufbewahrung ist wichtig, da manchmal Entschlüsselungstools etwa nach erfolgreichen Ermittlungen oder Forschungsarbeit kostenfrei veröffentlicht werden.
Die Ermittlung des Infektionsweges ist enorm wichtig: nur so kann eine neue Infektion ausgeschlossen werden. Gefundene Lücken oder Schwachstellen müssen unmittelbar geschlossen werden. Oft ist spezialisierte Hilfe hier sinnvoll (Forensiker, IT-Sicherheitsexperten).
Nach der Wiederherstellung oder Neuinstallation sollten die Systeme aktualisiert und gehärtet werden, bevor sie wieder im Netzwerk zugelassen werden [7].
Wichtig ist, dass mit den sauberen Systemen neue Kennörter gesetzt werden. Am besten ist es, alle auf den kompromittierten Systemen verwendeten Kennwörter neu zu setzen.
In Active-Directory Umgebungen ist insbesondere das Problem von Golden Tickets zu beachten:
Angreifer mit Domänenadministrator-Rechten können das KRBTGT-Konto beeinträchtigen. Indem diese das KRBTGT-Konto verwenden, können sie ein Kerberos Ticket Granting Ticket (TGT) erstellen, das die Autorisierung für jede Ressource erteilen und den Ablaufzeitpunkt des Tickets auf einen beliebigen Zeitpunkt festlegen kann. Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht es Angreifern, dauerhaft die Kontrolle über das Netzwerk zu erhalten. [13]
Mehr Information inklusive präventive und reaktive Maßnahmen bietet das CERT-EU [14].
Hilfe beim Zurücksetzen des Kontos bietet auch Microsoft mit einem Powershell Skript [15].
Datenschutz und Meldepflichten
Ransomware-Vorfälle sind aktuell häufig mit der Ausspähung von Daten verbunden. Hier ein wichtiger Hinweis des BSI:
Denken Sie an etwaige Meldepflichten etwa nach DSGVO, BSIG und anderen Gesetzen gegenüber Regulatoren. Beachten Sie außerdem etwaige Verpflichtungen aus vertraglichen Vereinbarungen. [12]
In bestimmten Fällen sind sogar die betroffenen Personen direkt zu informieren [16].
Ausführliche Information zu Meldepflichten und -wegen bei Datenschutzverstößen bietet die Landesbeauftragte für den Datenschutz Niedersachsen [17].
Warnung vor "mailanhang.de", Android-Schadsoftware!
09.12.2020
Aktuell beobachten wir eine Welle von Spam-Mails mit dem folgenden Text:
Sehr geehrter Herr, Wir haben eine Zahlung erhalten, die mit Ihrer E-Mail-Adresse verknüpft ist. Wir bitten Sie, diese Zahlung zu überprüfen, da sie einen Hinweis auf unsere Betrugsbekämpfungskontrollen darstellt. Bitte lesen Sie die nachstehende Rechnung und rufen Sie uns an, um die Zahlung zu stornieren, falls Sie diese Zahlung nicht genehmigt haben. Die anzurufende Telefonnummer ist in der Rechnung enthalten. Bitte überprüfen Sie, ob die Kreditkartennummer von Ihnen stammt oder nicht. Ihre Rechnung finden Sie hier
Die E-Mail enthält einen klickbaren Link auf die Webseite mailanhang.de, diese hat den folgenden Inhalt:
Wenn man jetzt die Anweisungen befolgt und diese Webseite mit einem Android-Smartphone aufruft, erscheint eine Anleitung wie man das Installieren von Paketen aus inoffiziellen Quellen aktiviert (sog. Side-Loading) und es wird eine APK-Datei heruntergeladen:
Dieses Installationspaket enthält eine Schadsoftware, die nach ersten Analysen die empfangenen SMS weiterleiten kann und eine komplette Fernsteuerung (beispielsweise das Ausführen von Klicks) des Smartphones ermöglicht.
Installieren Sie diese Datei unter keinen Umständen auf Ihrem Smartphone!
Hinweis: Wenn Sie das Side-Loading nicht aktiviert haben, dann lässt sich diese APK-Datei nicht installieren und Sie müssen sich keine Gedanken über eine mögliche Infektion Ihres Smartphones machen.
07.12.2020 Zurzeit wird vermehrt über ein Kontaktformular auf Firmenwebseiten ein Erpresserschreiben in englischer Sprache versendet.
Betreff: Your reputation and business are at stake! Stichworte: bitcoin, at stake, go to jail, life will turn to hell
Wir berichteten bereits von ähnlichen Erpressungsschreiben in deutscher Sprache. Der Wortlaut der Nachrichten ist hier immer identisch. Auffällig ist, dass stets die selbe Bitcoin-Adresse verwendet wird, so dass eine Rückverfolung auf den Einzahlenden nicht erkennbar wäre.
Wir gehen davon aus, dass es sich hierbei lediglich um einen vorgetäuschten Erpressungsversuch handelt, aber in diesem Zusammenhang keine Daten abgeflossen sind.
Unabhängig davon, ob hier eine technische Kompromittierung vorliegt, sollten Sie natürlich niemals einer solchen Forderung durch eine Zahlung nachkommen!
Sofern im Zusammenhang mit diesem Schreiben keine weiteren Hinweise auf ein Abfluss von Daten bei Ihnen vorliegen, können Sie diese Nachricht problemlos löschen oder natürlich wie alle anderen Betrugsmails auch, gerne an unsere Trojaner-E-Mail-Adresse Trojaner Konto weiterleiten.
Wenn Sie Anzeige erstatten möchten, suchen Sie Ihre örtliche Polizei-Dienststelle auf oder nutzen Sie gern auf Grund der aktuellen Kontaktbeschränkungen die für Ihr Bundesland zuständige Onlinewache. In Niedersachsen ist diese beispielsweise unter https://www.onlinewache.polizei.niedersachsen.de/ erreichbar.
Zusätzliches Corona-Hilfspaket für kleine und mittelständische Unternehmen?
19.11.2020 Heute hat uns eine sehr interessante Einsendung erreicht:
Corona-Hilfspaket für kleine und mittelständische Unternehmen, Reinhard Hoenighaus, Sehr geehrte Damen und Herren die Europäischer Rat hat die Eckpunkte für ein zusätzliches Corona-Hilfspaket für kleine und mittelständische Unternehmen vorgestellt (siehe Anlage)...
Das im Anhang befindliche PDF-Dokument ist sehr detailliert und soll auch entsprechend genau ausgefüllt werden, um die Hilfsgelder für den angeblichen "Corona-Weihnachtsbonus" möglichst schnell und unkompliziert zu bekommen:
Besonders verdächtig: Das Dokument soll ausschließlich an die angegebene Mailadresse DEUTSCHLAND@EK-EUROPA.EU gesendet werden - diese weicht vom eigentlichen Absender der Mail (angeblich deutschland@ec.europa.eu) ab.
Unserer Einschätzung nach handelt es sich um einen Betrugsversuch!
Dieser Verdacht stützt sich auf die folgenden Fakten:
E-Mail und Anhang enthalten teilweise Rechtschreibfehler und widersprüchliche Angaben
Die in der Mail genannte Faxnummer gehört zu dem Wahlkreisbüro der Abgeordneten Wissel in Bischofswerda, dort ist das Schreiben nicht bekannt
Die im PDF angegebene E-Mailadresse weicht von der Mailadresse des vermeintlichen Absenders ab
Die im PDF genannte E-Mailadresse ist bereits nicht mehr erreichbar und die Domain mittlerweile gelöscht
Daraus folgt: Bleiben Sie wachsam, insbesondere wenn es um Gelder geht, die angeblich sehr einfach zu erhalten sind. Versorgen Sie uns gerne weiterhin mit verdächtigen E-Mails, die Sie einfach formlos an die folgende Mailadresse senden: mailto:trojaner@polizeilabor.de.
06.10.2020
Zum sogenannten European Cybersecurity Month (ECSM) des BSI möchten wir an dieser Stelle auf ein - aus unserer Sicht - besonderes Produkt hinweisen. Im letzten Jahr wurde in Arbeitsgruppen die sogenannte IT-Notfallkarte erarbeitet. Ähnlich wie es im Bereich des Brandschutzes derartige Karten gibt, wurde dieses Exemplar entwickelt, um im IT-Notfall schnell den richtigen Ansprechpartner zur Hand zu haben.
Corona-Schutz am Arbeitsplatz - Bundesministerium für Gesundheit
09.09.2020 Wir beobachten seit heute Morgen eine neue Welle mit Schadsoftware, die angeblich vom Bundesministerium für Gesundheit per E-Mail versendet wird. Der Absender der Mail ist die Adresse poststelle@bundesministerium-gesundheit.com.
Die Mails haben den folgenden Aufbau:
Die schadhafte Datei mit dem Namen Arbeitsschutzregel-Corona-September.pdf.js befindet sich direkt im Anhang der E-Mail in einer ZIP-Datei mit dem Namen Bund-Arbeitsschutzregel-Corona-September-1.zip. Es handelt sich hierbei um den Downloader für eine Schadsoftware!
Verhaltenshinweise:
Öffnen/Doppelklicken Sie unter keinen Umständen die ZIP-Datei oder die JS-Datei im Anhang der Mail bzw. im ZIP-Archiv.
Sollten Sie die Datei dennoch geöffnet haben, lassen Sie ihren PC mit einer Anti-Viren-Software untersuchen.
Erstatten Sie Anzeige der der Polizei, am einfachsten über Ihre zuständige Onlinewache.
Sehr geehrte Damen und Herren, Die Gesundheitsministerinnen und -minister der EU haben sich heute zu den EU-weiten Regeln für Corona-Schutz am Arbeitsplatz ausgetauscht. Das Bundesministerium für Gesundheit hat eine neue offizielle Corona-Arbeitsschutzregel vorgelegt. Ab sofort gelten weitere verbindliche Regeln für Corona-Schutz am Arbeitsplatz. Wir bitten Sie, sich die neuen Regelungen gründlich durchzulesen und das Dokument der neuen Corona-Arbeitsschutzregeln umgehend für alle Mitarbeiter in Ihrem Betrieb verfügbar zu machen. Das Dokument der neuen Corona-Arbeitsschutzregeln finden Sie im Druckformat (A4) im Anhang dieser E-Mail. Sollten Sie Fragen haben, können Sie uns Ihre Nachricht gerne an poststelle@bmg.bund(dot)de senden.
08.07.2020
Zur Zeit wird vermehrt über Kontaktformulare auf Firmenwebseiten folgendes Erpresserschreiben versendet:
Betreff: Bitte leiten Sie diese E-Mail an jemanden in Ihrem Unternehmen weiter, der wichtige Entscheidungen treffen darf! Stichworte: Website, gehackt, extrahiert, Datenbank, Ruf, bitcoin
Wir berichteten bereits im Mai von dieser Art von Erpressung, diesmal sind die Texte jedoch in deutscher Sprache verfasst.
Auch hier ist der Wortlaut der Nachricht bis auf wenige Details (Betroffene Webseite, Absender und Bitcoin-Adresse) immer identisch.
Wir gehen wieder davon aus, dass es sich hierbei lediglich um einen vorgetäuschten Erpressungsversuch handelt, aber in diesem Zusammenhang keine Daten abgeflossen sind.
Unabhängig davon, ob hier eine technische Kompromittierung vorliegt, sollten Sie natürlich niemals einer solchen Forderung durch eine Zahlung nachkommen!
Sofern im Zusammenhang mit diesem Schreiben keine weiteren Hinweise auf ein Abfluss von Daten bei Ihnen vorliegen, können Sie diese Nachricht problemlos löschen oder natürlich wie alle anderen Betrugsmails auch, gerne an unsere Trojaner-E-Mail (trojaner@polizeilabor.de) weiterleiten.
Wenn Sie Anzeige erstatten möchten, suchen Sie Ihre örtliche Polizei-Dienststelle auf oder nutzen Sie, die für Ihr Bundesland zuständige Onlinewache. In Niedersachsen ist diese beispielsweise unter Onlinewache Polizei Niedersachsen erreichbar.
