Auf dem ersten Blick sind die in gutem Deutsch formulierten Schreiben kaum von normalen Bewerbungsschreiben zu unterscheiden. Besondere Vorsicht ist bei Mails mit angehängtem RAR-Archiv angebracht. Das Schadprogramm wird durch eine gefälschte PDF-Datei ausgelöst (z.B. pdf.exe). In der Standardeinstellung von Windows sind diese gefälschten PDF-Dateien nicht zu erkennen, wie heise.de ausführt, denn bekannte Dateiendungen (.exe) werden ausgeblendet. Verdächtige Dateien sollten sofort gelöscht werden.

Anzeige

Existenzbedrohende Gefahren für Unternehmen

Großangelegte Cyber-Attacken mit Ransomware können enorme Schäden anrichten: Sie greifen in Steuerungsprozesse von Unternehmen ein, manipulieren Betriebssysteme und zerstören viele Daten mit einer Verschlüsselungs-Software unwiderruflich. Mit einigen Angriffen soll Geld erpresst werden. Gegen Zahlung eines Lösegeldes (engl. „ransom“) wird versprochen, die Daten wieder freizugeben.

Ransomware wird aber auch zur gezielten Sabotage von Unternehmen eingesetzt. Allein die Angriffe in der zweiten Jahreshälfte 2017 mit Petya/ NotPetya verursachten in der deutschen Wirtschaft Schäden in Millionenhöhe. Für kleine und mittelständische Unternehmen kann eine solche Schadensbilanz schnell existenzgefährdend sein.

Neue Ransomwelle: gefälschte Bewerbungsschreiben

Nun wird vor einer neuen Angriffswelle gewarnt: betrügerische Bewerbungsmails bringen derzeit einen Verschlüsselungstrojaner in Umlauf. Wie heise.de berichtet, handelte es sich bisher um Mails mit dem Betreff "Bewerbung auf die angebotene Stelle bei der Agentur für Arbeit von Peter Reif" oder um Bewerbungen mit variierenden Namen wie "Peter Schnell", "Caroline Schneider", "Viktoria Henschel". Da die Namen durch die Angreifer beliebig variiert werden können (wobei geklaute Identitäten benutzt werden), dienen sie also nicht als eindeutiger Hinweis auf die schädlichen Mails.

Gefährlicher Anhang in makellos erscheinender Bewerbung

Die vermeintliche Bewerbungsmail mit dem Schadprogramm ist in sauberem Deutsch formuliert. Beigefügt ist eine verschlüsselte Archivdatei (etwa .rar) und eine als angebliche .pdf-Datei getarnte .exe-Datei. Der Fake-Bewerber gebe an, das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt zu haben, was laut heise.de aber völliger „Blödsinn“ sei. Stattdessen haben die Drahtzieher des Angriffs diese Passwörter vergeben, damit Virenscanner nicht in das Archiv schauen können.

Entpackt man das Archiv und öffnet die darin enthaltene Datei, droht die Infektion der Rechner. Wie das Portal unter Berufung auf den Online-Analysedienst Virustotal ausführt, versteckt sich in den gefälschten Schreiben die Ransomware GandCrab 5.0.4.

Anzeige

Bundesamt sieht Gefahr für Personalabteilungen

Das Bundesamt für Sicherheit in der Informationstechnik sieht besondere Gefahr für die Personalabteilungen von Unternehmen, die täglich derartige Bewerbungsschreiben zugeschickt bekommen. Für IT-Sicherheitsverantwortliche werden konkrete Empfehlungen gegeben als Beispiele genannt seien das Einschränken von Administratorenrechten, technische Maßnahmen zur Blockierung verschlüsselter Archive oder ein Verhindern des Startens von ausführbaren Programmen in Dokumenten- und Temporär-Ordnern mittels Blacklisting. Ein Themenpapier zu Ransomware gibt weitere Tipps und kann auf den Seiten des BSI heruntergeladen werden.

Trojaner geöffnet - Was tun?

Was ist im Infektionsfall zu tun? Auch hierfür gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Tipps. Wichtig ist: Keinesfalls sollte das Lösegeld gezahlt werden. Denn zum einen sind Fälle bekannt, in denen nach Zahlung die Daten doch nicht rückentschlüsselt wurden. Zum anderen bieten sich zahlende Opfer als attraktives Angriffsziel für weitere Angriffe an. Stattdessen sollten Betroffene Anzeige erstatten.

Beratung suchen durch behördliche Anlaufstellen

Gut zu wissen: Bundesländer beziehungsweise die zuständigen Landeskriminalämter haben Anlaufstellen eingerichtet, die Unternehmen, welche Opfern von Cyber-Straftaten geworden sind, beratend zur Seite stehen.

Anzeige

Unmittelbares Handeln nach einer Infektion: Alles vom Netz und schnell fachkundige Hilfe herbeiholen

Im Schadensfall ist es wichtig, die Computer so schnell wie möglich vom Netz zu nehmen, indem Netzwerkkabel gezogen und WLAN-Adapter abgeschaltet werden. Fachkundige Mitarbeiter oder Dienstleister sollen Zwischenspeicher und Festplatten noch vor weiteren Reparaturversuchen oder Neustarts sichern. Wären doch forensische Untersuchungen danach nur noch sehr schwer bzw. gar nicht mehr durchführbar.

Wichtige Maßnahmen wie das Finden des Infektionsvektors, das neue Aufsetzen der Systeme und das Wiederherstellen der Daten ist ohne die nötige Expertise kaum denkbar. Deswegen rät das BSI: Falls betroffene Unternehmen kein eigenes IT-Security Team / Computer Emergency Response Team (CERT) haben, welches den Vorfall bewältigen kann, sollte externe Unterstützung durch eine Fachfirma eingekauft werden. Hierzu finden sich auf den Webseiten der Allianz für Cyber-Sicherheit (ACS) BSI-zertifizierte IT-Sicherheitsdienstleister für IS-Revision und IS-Beratung sowie Penetrationstests.

Seite 1/2/