Ransomware (Erpressungstrojaner, Verschlüsselungstrojaner) ist seit Jahren eine der größten Bedrohungen im digitalen Raum, sowohl für private als auch gewerbliche Nutzer und Netzwerke. Ein schwerer Vorfall kann nicht nur einen kompletten Datenverlust bedeuten, sondern auch die Veröffentlichung sensibler oder geheimer Daten.
In den letzten Monaten haben wir einen deutlichen Anstieg der Vorfälle in Niedersachsen beobachtet; diese Entwicklung spiegelt sich weltweit wider. Mit diesem Post wollen wir nochmal das Thema aufgreifen, aktuelle Information mitteilen und einige Vorschläge geben, wie Sie sich präventiv schützen können und was bei einem Vorfall zu beachten ist.
_CL0P^_ Ransomware Veröffentlichungen im TOR Netzwerk. Die von CL0P ausgespähten Daten werden bei Nichtzahlung hier veröffentlicht.
Aktuelles
Im Jahr 2020 ist ein Anstieg in der Anzahl der Ransomware-Vorfälle zu verzeichnen [1, 2]; das geforderte Lösegeld ist auch gestiegen [3].
Infektionswege sind überall, wo eine Verbindung zum Internet möglich ist. Häufig erfolgt die Erstinfektion über eine schadhafte E-Mail; ebenso häufig in letzter Zeit sind Fernzugänge (RDP, VPN), z.B. für Home-Office, vertreten.
In vielen Fällen ist eine mehrstufige Kompromittierung vorhanden: initiale Kompromittierung via E-Mail, Ausspähung von Daten, Ransomware wird zu einem späteren Zeitpunkt, d.h. manchmal Wochen bis Monate später nachgeladen.
Bei solchen Angriffen sind oft verschiedene Tätergruppierungen aktiv: Der Zugang wird ermöglicht und weiterverkauft von Gruppe A, Gruppe B kauft sich Zugänge zu lukrativen Zielen und verschlüsselt die Systeme [4].
Viele Ransomware-Varianten leiten jetzt Daten aus bevor sie verschlüsseln: wird nicht bezahlt, bleiben Ihre Daten verschlüsselt und die zuvor ausgespähten Daten werden zusätzlich im Internet (vorzugsweise Darknet bzw. TOR) veröffentlicht.
Ausgespähten Daten werden nach Zahlung des Lösegeldes nicht immer gelöscht; manchmal werden Daten trotzdem von den Tätern veröffentlicht, manchmal erfolgt eine zweite Erpressung [5].
Wie bei CL0P betreiben weitere Ransomware Akteure wie DoppelPaymer und RagnarLocker auch sogenannte "shaming" Seiten im TOR Netzwerk.
Was Sie tun können
Ihre Aktionen vor und während eines Ransomware-Vorfalls können große Auswirkungen haben. Die folgenden Tipps zusätzlich zu allgemeinen IT-Sicherheitsvorkehrungen wie Antiviren-Software, Backups, gute Passwörter und aktuelle Systeme können Ihnen helfen, sich bzw. Ihre Organisation gegen einen Ransomware-Vorfall zu schützen.
Die meisten Tipps hier sind unabhängig vom Betriebssystem, allerdings beziehen sich einige direkt auf Windows Systeme und Netzwerke bzw. Active-Directory Umgebungen.
Im Voraus
Präventiv kann man einiges tun, um das Schadenspotential eines (Ransomware-) Angriffs zu begrenzen:
Backups: Datensicherungen (Backups) sind eine der wichtigsten Maßnahmen und sollten regelmäßig erstellt und geprüft werden. Zusätzlich ist die 3-2-1-Regel zu empfehlen: drei Kopien des Backups auf zwei verschiedenen Medien, mit einer Offline-Kopie.
E-Mail-Filterung: Nachrichten mit verdächtigem Inhalt (definierte Betreffe, Anhänge, Absender-Adressen, usw.) sollten direkt blockiert werden. Zusätzlich sollten Makros in über E-Mail empfangenen MS-Office Dateien deaktiviert werden [6]. Andere Mechanismen wie DMARC und SPF helfen, betrügerische Mails zu identifizieren. Nicht nur im Zusammenhang mit Ransomware, sondern auch bei den Betrugsvarianten CEO-Fraud bzw. Rechnungsmanipulation.
Aktuelle Systeme: Systeme und Software regelmäßig aktualisieren, insbesondere die aus dem Internet zugänglichen Systeme [6].
Segmentierung: das Netzwerk in kleinere Subnetzwerke einteilen, die nicht oder nur bedingt miteinander kommunizieren können, hilft dabei, die Ausbreitung von Schadsoftware (und somit die Schäden bei einem Vorfall) begrenzt zu halten.
Logs: Die Auswertung von Netzwerk-Logdaten spielt eine zentrale Rolle bei einem Vorfall: damit lassen sich u.a. das Ausmaß des Vorfalls feststellen und ggf. den Infektionsweg ermitteln. Logging sollte regelmäßig erfolgen und Logs sollten sicher (und zentral) aufbewahrt werden. Überwachung der Logdaten auf Auffälligkeiten kann helfen, Angriffe frühzeitig zu erkennen [6, 7].
Blocklisten: Netzwerkkommunikation mit bekannten Malware C2 (Command & Control) Servern kann anhand öffentlich verfügbarer Listen überwacht oder blockiert werden [7]. Solche Listen sind beispielsweise hier zu finden [8].
Kommunikationswege reduzieren: die Menge der Kommunikationswege zwischen den einzelnen Systemen im eigenen Netzwerk (-segment) sollte auf das Nötigste reduziert werden: SMB, RDP, WMI, Windows Remote Management, Remote Powershell im internen Netzwerk unterbinden, wenn nicht zwingend notwendig. Diese Dienste und Ports sind die am häufigsten benutzten Verbreitungs- und Verteilwege innerhalb eines Netzwerkes [9].
Sind solche Verbindungen doch notwendig, kann man gezielte Ausnahmen zulassen. Stellen Sie dann sicher, dass aktuelle (gepatchte) Versionen dieser Dienste verwendet werden.
Fernzugänge absichern: sind Fernzugänge (wie RDP) vorhanden, sollten diese geschützt werden: Zwei-Faktor-Authentifizierung, Zugriff nur von bestimmten Quell-Adressen, Zugriff nur für bestimmte Nutzer*innen, Benutzung von VPN- bzw. RDP-Gateways [6, 7, 10].
Passwort Sicherheit: Lokale-Administrator Konten werden häufig benutzt, um sich durch Netzwerke zu bewegen. Werden identische Admin-Passwörter über mehrere Rechner verwendet, wird das besonders einfach gemacht. Microsoft hat hierzu ein Security Advisory (KB2871997) [9].
Least-Privilege: Konten mit erhöhten netzwerkweiten Rechten sollten nur von besonders dafür designierten Systemen benutzt werden. Eine Anmeldung mit solchen Konten auf normalen Endgeräten sollte nicht möglich sein. Ausführliche Information und SOLL-Regelungen zum Schutz des privilegierten Zugriffs in Active-Directory Umgebungen beschreibt Microsoft in [11].
Kritische Systeme (z.B. Domain Controller) sollten bei einem Vorfall schnell isoliert werden können [9].
GPO Sicherheit: Ransomware benutzt oft Group Policy Objects, um sich in einem Netzwerk auszubreiten. Konten, die mehrere GPOs verwalten, sollten besonders geschützt sein. Besonders geschützt sollten auch die GPOs sein, die Sicherheitseinstellungen für mehrere Geräte verwalten [9].
Externe Dienstleister berücksichtigen: Hard- und Software von externen Dienstleistern, z.B. Telefonserver, die vom jeweiligen Provider verwaltet werden, sollten geprüft werden. In welchem Netzwerk (-segment) ist sowas zu finden? Verfügen diese Geräte (und somit ggf. die Verwalter dieser) über besondere Rechte im Netzwerk? Ein Vorfall bei einem externen Dienstleister kann in solchen Fällen für die eigene IT gravierende Folgen haben [6].
Planen und üben: Das BSI empfiehlt Planbesprechungen und Ãœbungen im Voraus, um auf einen Vorfall vorbereitet zu sein [7]. Hier können sogenannte Penetrationstests sehr hilfreich sein.
Versicherung: eine Cyber-Versicherung kann sinnvoll sein, denn hier besteht oft die Möglichkeit, bei einem Vorfall technische Expertenhilfe schnell zu bekommen.
Während des Vorfalls
Bei einem laufenden Angriff ist die Eindämmung der Ausbreitung und somit der Schäden von größter Bedeutung. Die folgenden Sofortmaßnahmen sind zu empfehlen [12]:
Isolation: alle (potenziell-) infizierten Systeme sind sofort zu isolieren: Netzwerkverbindung von betroffenen Systemen trennen. Nur wenn diese sich nicht vom Netzwerk trennen lassen sollten sie heruntergefahren werden.
Kritische Systeme schützen: auch die kritischen Systeme können (und sollten) zu ihrer Sicherheit isoliert und erst nach Klarmeldung wieder in Betrieb genommen werden.
Out-of-Band Kommunikationen: die fremde Überwachung der eigenen Aktivitäten und Kommunikationen (E-Mail) ist nach einem Vorfall möglich [6]; man sollte daher ein anderes Kommunikationsmittel benutzen, bis die Situation unter Kontrolle gebracht wurde.
Vorfall kommunizieren: der Vorfall sollte intern klar kommuniziert werden. Auch die Mitteilung nach außen (Kunden, Partner) kann sinnvoll sein, da manche Schadsoftware sich beispielsweise schnell im Namen des Opfers und unter Verwendung echten Mailverkehrs weiterverbreitet.
Prüfung privilegierter Konten: Admin-Konten sollten geprüft werden: sind alle bekannt und legitim? Sind existierende Konten mit neuen Rechten erweitert worden? Sind sonst legitim erscheinenden Zugriffe zu ungewöhnlichen Zeiten erfolgt?
Infrastruktur prüfen: die Infrastruktur sollte auch auf Unregelmäßigkeiten geprüft werden. Sind neue und/oder unbekannte Systeme, (virtuelle-) Maschine oder sonstige Geräte vorhanden?
Netzwerkverkehr prüfen: ungewöhnliche Aktivitäten wie fehlgeschlagene DNS-Auflösungen, Datenverkehr in großen Mengen oder zu ungewöhnlichen Zeiten kann Hinweise auf Schadsoftware liefern [7]. Auch sind neue oder geänderte Freigaben im Netzwerk oft ein Zeichen eines Befalls.
Beweissicherung: forensische Abbildungen sind für die Beweissicherung wichtig. Diese sind möglichst am Live-System anzufertigen, da nur so die flüchtigen Daten (wie aus dem Arbeitsspeicher) gesichert werden können. Hierfür ist oft spezielle Unterstützung notwendig, wie von einem IT-Dienstleister oder ggf. der Polizei.
Nach dem Vorfall
Ist der Angriff vorbei egal ob er erfolgreich eingedämmt oder gar abgewehrt werden konnte, bleibt neben der Wiederherstellung der Systeme auch noch festzustellen, wie es zu dem Vorfall gekommen ist und wie man sich zukünftig dagegen schützen kann. Hierzu hat u.a. das BSI ausführliche Information bereitgestellt [12].
Infizierte Systeme sollten als vollständig kompromittiert betrachtet werden [7]. Zugangsdaten, die auf diesen Systemen benutzt wurden, sollten auch als kompromittiert gelten.
Kompromittierte Systeme sollten von "sauberen" Backups wiederhergestellt werden.
Sind Backups nicht verfügbar, sollten die Systeme neu aufgesetzt werden.
Verschlüsselte Daten sollten dabei aufbewahrt werden und nicht bei einer Neuinstallation oder Wiederherstellung überschrieben werden. Die Aufbewahrung ist wichtig, da manchmal Entschlüsselungstools etwa nach erfolgreichen Ermittlungen oder Forschungsarbeit kostenfrei veröffentlicht werden.
Die Ermittlung des Infektionsweges ist enorm wichtig: nur so kann eine neue Infektion ausgeschlossen werden. Gefundene Lücken oder Schwachstellen müssen unmittelbar geschlossen werden. Oft ist spezialisierte Hilfe hier sinnvoll (Forensiker, IT-Sicherheitsexperten).
Nach der Wiederherstellung oder Neuinstallation sollten die Systeme aktualisiert und gehärtet werden, bevor sie wieder im Netzwerk zugelassen werden [7].
Wichtig ist, dass mit den sauberen Systemen neue Kennörter gesetzt werden. Am besten ist es, alle auf den kompromittierten Systemen verwendeten Kennwörter neu zu setzen.
In Active-Directory Umgebungen ist insbesondere das Problem von Golden Tickets zu beachten:
Angreifer mit Domänenadministrator-Rechten können das KRBTGT-Konto beeinträchtigen. Indem diese das KRBTGT-Konto verwenden, können sie ein Kerberos Ticket Granting Ticket (TGT) erstellen, das die Autorisierung für jede Ressource erteilen und den Ablaufzeitpunkt des Tickets auf einen beliebigen Zeitpunkt festlegen kann. Dieses gefälschte TGT wird als "Golden Ticket" bezeichnet und ermöglicht es Angreifern, dauerhaft die Kontrolle über das Netzwerk zu erhalten. [13]
Mehr Information inklusive präventive und reaktive Maßnahmen bietet das CERT-EU [14].
Hilfe beim Zurücksetzen des Kontos bietet auch Microsoft mit einem Powershell Skript [15].
Datenschutz und Meldepflichten
Ransomware-Vorfälle sind aktuell häufig mit der Ausspähung von Daten verbunden. Hier ein wichtiger Hinweis des BSI:
Denken Sie an etwaige Meldepflichten etwa nach DSGVO, BSIG und anderen Gesetzen gegenüber Regulatoren. Beachten Sie außerdem etwaige Verpflichtungen aus vertraglichen Vereinbarungen. [12]
In bestimmten Fällen sind sogar die betroffenen Personen direkt zu informieren [16].
Ausführliche Information zu Meldepflichten und -wegen bei Datenschutzverstößen bietet die Landesbeauftragte für den Datenschutz Niedersachsen [17].
Warnung vor "mailanhang.de", Android-Schadsoftware!
09.12.2020
Aktuell beobachten wir eine Welle von Spam-Mails mit dem folgenden Text:
Sehr geehrter Herr, Wir haben eine Zahlung erhalten, die mit Ihrer E-Mail-Adresse verknüpft ist. Wir bitten Sie, diese Zahlung zu überprüfen, da sie einen Hinweis auf unsere Betrugsbekämpfungskontrollen darstellt. Bitte lesen Sie die nachstehende Rechnung und rufen Sie uns an, um die Zahlung zu stornieren, falls Sie diese Zahlung nicht genehmigt haben. Die anzurufende Telefonnummer ist in der Rechnung enthalten. Bitte überprüfen Sie, ob die Kreditkartennummer von Ihnen stammt oder nicht. Ihre Rechnung finden Sie hier
Die E-Mail enthält einen klickbaren Link auf die Webseite mailanhang.de, diese hat den folgenden Inhalt:
Wenn man jetzt die Anweisungen befolgt und diese Webseite mit einem Android-Smartphone aufruft, erscheint eine Anleitung wie man das Installieren von Paketen aus inoffiziellen Quellen aktiviert (sog. Side-Loading) und es wird eine APK-Datei heruntergeladen:
Dieses Installationspaket enthält eine Schadsoftware, die nach ersten Analysen die empfangenen SMS weiterleiten kann und eine komplette Fernsteuerung (beispielsweise das Ausführen von Klicks) des Smartphones ermöglicht.
Installieren Sie diese Datei unter keinen Umständen auf Ihrem Smartphone!
Hinweis: Wenn Sie das Side-Loading nicht aktiviert haben, dann lässt sich diese APK-Datei nicht installieren und Sie müssen sich keine Gedanken über eine mögliche Infektion Ihres Smartphones machen.
07.12.2020 Zurzeit wird vermehrt über ein Kontaktformular auf Firmenwebseiten ein Erpresserschreiben in englischer Sprache versendet.
Betreff: Your reputation and business are at stake! Stichworte: bitcoin, at stake, go to jail, life will turn to hell
Wir berichteten bereits von ähnlichen Erpressungsschreiben in deutscher Sprache. Der Wortlaut der Nachrichten ist hier immer identisch. Auffällig ist, dass stets die selbe Bitcoin-Adresse verwendet wird, so dass eine Rückverfolung auf den Einzahlenden nicht erkennbar wäre.
Wir gehen davon aus, dass es sich hierbei lediglich um einen vorgetäuschten Erpressungsversuch handelt, aber in diesem Zusammenhang keine Daten abgeflossen sind.
Unabhängig davon, ob hier eine technische Kompromittierung vorliegt, sollten Sie natürlich niemals einer solchen Forderung durch eine Zahlung nachkommen!
Sofern im Zusammenhang mit diesem Schreiben keine weiteren Hinweise auf ein Abfluss von Daten bei Ihnen vorliegen, können Sie diese Nachricht problemlos löschen oder natürlich wie alle anderen Betrugsmails auch, gerne an unsere Trojaner-E-Mail-Adresse Trojaner Konto weiterleiten.
Wenn Sie Anzeige erstatten möchten, suchen Sie Ihre örtliche Polizei-Dienststelle auf oder nutzen Sie gern auf Grund der aktuellen Kontaktbeschränkungen die für Ihr Bundesland zuständige Onlinewache. In Niedersachsen ist diese beispielsweise unter https://www.onlinewache.polizei.niedersachsen.de/ erreichbar.
Zusätzliches Corona-Hilfspaket für kleine und mittelständische Unternehmen?
19.11.2020 Heute hat uns eine sehr interessante Einsendung erreicht:
Corona-Hilfspaket für kleine und mittelständische Unternehmen, Reinhard Hoenighaus, Sehr geehrte Damen und Herren die Europäischer Rat hat die Eckpunkte für ein zusätzliches Corona-Hilfspaket für kleine und mittelständische Unternehmen vorgestellt (siehe Anlage)...
Das im Anhang befindliche PDF-Dokument ist sehr detailliert und soll auch entsprechend genau ausgefüllt werden, um die Hilfsgelder für den angeblichen "Corona-Weihnachtsbonus" möglichst schnell und unkompliziert zu bekommen:
Besonders verdächtig: Das Dokument soll ausschließlich an die angegebene Mailadresse DEUTSCHLAND@EK-EUROPA.EU gesendet werden - diese weicht vom eigentlichen Absender der Mail (angeblich deutschland@ec.europa.eu) ab.
Unserer Einschätzung nach handelt es sich um einen Betrugsversuch!
Dieser Verdacht stützt sich auf die folgenden Fakten:
E-Mail und Anhang enthalten teilweise Rechtschreibfehler und widersprüchliche Angaben
Die in der Mail genannte Faxnummer gehört zu dem Wahlkreisbüro der Abgeordneten Wissel in Bischofswerda, dort ist das Schreiben nicht bekannt
Die im PDF angegebene E-Mailadresse weicht von der Mailadresse des vermeintlichen Absenders ab
Die im PDF genannte E-Mailadresse ist bereits nicht mehr erreichbar und die Domain mittlerweile gelöscht
Daraus folgt: Bleiben Sie wachsam, insbesondere wenn es um Gelder geht, die angeblich sehr einfach zu erhalten sind. Versorgen Sie uns gerne weiterhin mit verdächtigen E-Mails, die Sie einfach formlos an die folgende Mailadresse senden: mailto:trojaner@polizeilabor.de.
06.10.2020
Zum sogenannten European Cybersecurity Month (ECSM) des BSI möchten wir an dieser Stelle auf ein - aus unserer Sicht - besonderes Produkt hinweisen. Im letzten Jahr wurde in Arbeitsgruppen die sogenannte IT-Notfallkarte erarbeitet. Ähnlich wie es im Bereich des Brandschutzes derartige Karten gibt, wurde dieses Exemplar entwickelt, um im IT-Notfall schnell den richtigen Ansprechpartner zur Hand zu haben.
Corona-Schutz am Arbeitsplatz - Bundesministerium für Gesundheit
09.09.2020 Wir beobachten seit heute Morgen eine neue Welle mit Schadsoftware, die angeblich vom Bundesministerium für Gesundheit per E-Mail versendet wird. Der Absender der Mail ist die Adresse poststelle@bundesministerium-gesundheit.com.
Die Mails haben den folgenden Aufbau:
Die schadhafte Datei mit dem Namen Arbeitsschutzregel-Corona-September.pdf.js befindet sich direkt im Anhang der E-Mail in einer ZIP-Datei mit dem Namen Bund-Arbeitsschutzregel-Corona-September-1.zip. Es handelt sich hierbei um den Downloader für eine Schadsoftware!
Verhaltenshinweise:
Öffnen/Doppelklicken Sie unter keinen Umständen die ZIP-Datei oder die JS-Datei im Anhang der Mail bzw. im ZIP-Archiv.
Sollten Sie die Datei dennoch geöffnet haben, lassen Sie ihren PC mit einer Anti-Viren-Software untersuchen.
Erstatten Sie Anzeige der der Polizei, am einfachsten über Ihre zuständige Onlinewache.
Sehr geehrte Damen und Herren, Die Gesundheitsministerinnen und -minister der EU haben sich heute zu den EU-weiten Regeln für Corona-Schutz am Arbeitsplatz ausgetauscht. Das Bundesministerium für Gesundheit hat eine neue offizielle Corona-Arbeitsschutzregel vorgelegt. Ab sofort gelten weitere verbindliche Regeln für Corona-Schutz am Arbeitsplatz. Wir bitten Sie, sich die neuen Regelungen gründlich durchzulesen und das Dokument der neuen Corona-Arbeitsschutzregeln umgehend für alle Mitarbeiter in Ihrem Betrieb verfügbar zu machen. Das Dokument der neuen Corona-Arbeitsschutzregeln finden Sie im Druckformat (A4) im Anhang dieser E-Mail. Sollten Sie Fragen haben, können Sie uns Ihre Nachricht gerne an poststelle@bmg.bund(dot)de senden.
08.07.2020
Zur Zeit wird vermehrt über Kontaktformulare auf Firmenwebseiten folgendes Erpresserschreiben versendet:
Betreff: Bitte leiten Sie diese E-Mail an jemanden in Ihrem Unternehmen weiter, der wichtige Entscheidungen treffen darf! Stichworte: Website, gehackt, extrahiert, Datenbank, Ruf, bitcoin
Wir berichteten bereits im Mai von dieser Art von Erpressung, diesmal sind die Texte jedoch in deutscher Sprache verfasst.
Auch hier ist der Wortlaut der Nachricht bis auf wenige Details (Betroffene Webseite, Absender und Bitcoin-Adresse) immer identisch.
Wir gehen wieder davon aus, dass es sich hierbei lediglich um einen vorgetäuschten Erpressungsversuch handelt, aber in diesem Zusammenhang keine Daten abgeflossen sind.
Unabhängig davon, ob hier eine technische Kompromittierung vorliegt, sollten Sie natürlich niemals einer solchen Forderung durch eine Zahlung nachkommen!
Sofern im Zusammenhang mit diesem Schreiben keine weiteren Hinweise auf ein Abfluss von Daten bei Ihnen vorliegen, können Sie diese Nachricht problemlos löschen oder natürlich wie alle anderen Betrugsmails auch, gerne an unsere Trojaner-E-Mail (trojaner@polizeilabor.de) weiterleiten.
Wenn Sie Anzeige erstatten möchten, suchen Sie Ihre örtliche Polizei-Dienststelle auf oder nutzen Sie, die für Ihr Bundesland zuständige Onlinewache. In Niedersachsen ist diese beispielsweise unter Onlinewache Polizei Niedersachsen erreichbar.
Die Entscheidung, Ihr Unternehmen aufgrund von Covid-19 zu schließen
09.06.2020
Wir beobachten momentan eine neue Welle mit Schadsoftware, die angeblich von der Bundesregierung per E-Mail versendet wird. Der Absender der Mail ist die Adresse information@germany-government.eu. Die Mails haben den folgenden Aufbau:
Die schadhafte Datei ist auf Microsofts Clouddienst OneDrive hinterlegt:
Es handelt sich zunächst um ein RAR-Archiv, darin enthalten ein ZIP-Archiv mit 3 Dateien:
Bei der ausführbaren Datei handelt es sich unserer Einschätzung nach um einen Verschlüsselungstrojaner:
Klicken Sie nicht auf den Link, laden Sie nicht das Archiv von OneDrive herunter und führen Sie unter gar keinen Umständen die EXE-Datei aus!
Aufgrund der aktuellen Bedingungen unseres Landes aufgrund von Covid-19 haben wir beobachtet und berichtet, dass Ihr Unternehmen die Bedingungen nicht erfüllt. Bitte schließen Sie Ihr Unternehmen innerhalb von 48 Stunden und öffnen Sie es erst, wenn wir Sie erneut anweisen. Andernfalls werden Sie für einen hohen Betrag verurteilt und mit einer Geldstrafe belegt. Ein Dokument, aus dem hervorgeht, dass Ihr Arbeitsplatz von unserem Expertenteam nicht geeignet ist, ist beigefügt. Beachtung! Da das angehängte Dokument für Sie bestimmt ist, lassen Sie bitte alle Antivirenprogramme und Windows Defender, falls verfügbar. Andernfalls können Sie das Dokument nicht anzeigen.
03.06.2020 Update vom 03.06.2020: Artikel aktualisiert, ursprünglicher Artikel war vom 20.05.2020. Update vom 27.05.2020: In dem vorherigen Artikel war ein Bezug zu Emotet hergestellt worden, dieser ist nach Informationen des BSI nicht gegeben. Bei uns mehren sich Hinweise darauf, dass eine neue Schadsoftware-Welle gerade beginnt. Wie schon von anderen Kampagnen aus der Vergangenheit bekannt geworden, werden auch hier E-Mails als Antworten in bestehender Kommunikation versendet. Die versendeten E-Mails enthalten einen kurzen Text und einen Link zum Download einer ZIP-Datei, getarnt als Darlehensvertrag:
Beispiel für diese Art von Mails:
Es ist dieser Bericht, den Sie gebraucht haben. Wenn ich etwas verpasst habe, müssen Sie sich bei mir melden. Es ist unten angehängt. Hoffentlich von meiner Seite ist alles gut.
Sie müssen sich diese Berechnungen ansehen und überprüfen, ob sie korrekt sind. Benachrichtigen Sie mich über etwaige Inkonsistenzen.
Hier ist die Datei. Stellen Sie sicher, dass Sie es durchsehen. Bitte lassen Sie mich wissen, wie ist Ihre Meinung dazu.
Die ZIP-Dateien enthalten jeweils ein Skript, das bei Ausführung die Schadsoftware QuakBot herunterlädt.
Es gibt auch Anzeichen dafür, dass der Verschlüsselungstrojaner ProLock in bestimmten Fällen von QakBot nachgeladen wird.
Wenn Sie als Firma oder Behörde eine solche Mail empfangen und geöffnet haben, sollten Sie sich umgehend mit Ihrem IT-Dienstleister in Verbindung setzen.
Setzen Sie auch ggf. den Absender der E-Mails darüber in Kenntnis, dass sein IT-System kompromittiert sein könnte.
Angeblicher Lieferschein per E-Mail von DHL - gefährliche Makros!
13.05.2020
Aktuell werden E-Mails versendet, die angeblich von DHL kommen. Im Anhang der Mail befindet sich eine Excel-Tabelle mit einem Makro. Wird dieses aktiviert, installiert sich eine Schadsoftware auf Ihrem Rechner. Löschen Sie die E-Mail und öffnen Sie nicht den Anhang der E-Mail.
Beispiel für diese Art von Mails:
[DHL: 5102742018]: RE: Lieferschein
Sehr geehrter Kunde, Ihr Paket ist kürzlich in unserem Zentrum angekommen, aber wir können die Lieferadresse nicht finden. Hier finden Sie das registrierte Kontaktformular, den Lieferschein und die Zahlungsdetails der Fluggesellschaft. Geben Sie die uns gegebene Kontaktnummer ein und senden Sie sie uns. Wir freuen uns von Ihnen zu hören.
Grafik nach dem Öffnen der Excel-Tabelle:
Achtung: Erst das Aktivieren der aktiven Inhalte (Makros) führt zur Infektion! Sie sollten die Excel-Tabelle trotzdem NICHT öffnen! Das Makro ist in einem versteckten Tabellenblatt verborgen.
Die Schadsoftware wird u.a. von den folgenden Adressen runtergeladen:
hXXp://putin-malwrhunterteams.com/scan.txt
hXXp://paste.ee/r/e49u0
hXXp://paste.ee/r/dlOMz
Danach erfolgt der Versuch einer Kontaktaufnahme mit der IP-Adresse 185.140.54.48 auf Port 7707. Das System ist allerdings momentan nicht erreichbar, so dass weitere Analysen zur Zeit nicht durchgeführt werden können.
