Ransomware statt Interpol-Beweisvideo

Im Rahmen einer Malware-Kampagne haben Cyberkriminelle kleine Unternehmen in Europa, Asien, dem Mittleren Osten und den USA angeschrieben. Dabei gaben sie sich laut Analyse der Bitdefender-Experten als Beamte von Interpol aus. Die Betrüger behaupteten, ein passwortgeschütztes Archiv mit Dokumenten und Videomaterial zu verdächtigen Aktivitäten des Opferunternehmens zuzusenden. Dahinter verbarg sich in Wirklichkeit Ransomware. Die Opfer fanden sich in verschiedenen Branchen wie etwa Lebensmittel, Landwirtschaft, Kanzleien, Pharmaindustrie, Medien, Technologie und Finanzdienstleistung. Die Kampagne, die über den Druck auf die Empfänger funktioniert, belegt, dass auch ein relativ einfacher Code gepaart mit überzeugendem Social-Engineering eine ernsthafte Bedrohung werden kann. Die Experten rechnen damit, dass solche Attacken in leicht abgewandelter Form jederzeit wieder ausgespielt werden können. 

Post von „Interpol“ mit Malware von Unbekannt. (Bildquelle: Screenshot Bitdefender)

Vor allem kleine Unternehmen ohne dezidierte IT- oder IT-Sicherheitsteams, mit begrenzten Ressourcen und verteilten Sicherheitskompetenzen sind ein einfaches Ziel für Angreifer. Sie spekulieren auf Mitarbeiter, für die IT-Sicherheit oder Compliance nur einige von vielen Aufgaben sind. Sie gehen oft zu Recht davon aus, dass kleine Unternehmen keinen Prozess etabliert haben, um den Wahrheitsgehalt einer Kontaktaufnahme zu überprüfen.

Die Hacker wurden per Link auf eine Proton-Drive-Datei mit der Ransomware gelenkt. Das notwendige Passwort lieferten sie passenderweise gleich mit. Die bösartige ausführbare Datei war als Video-Datei getarnt. Im Anschluss versuchte die heruntergeladene Malware verfügbare Laufwerke zu verschlüsseln. Die Urheber der Kampagne meldeten sich beim Angreifer mit der Nachricht der erfolgten Ransomware-Attacke. Anstelle einer Lösegeldforderung wurden die Opfer gebeten, ein Lösegeld über einen Tox-Chat zu verhandeln.

Zunehmend treten Ransomware-Akteure auf diese Weise in Kontakt mit den Opfern, anstatt gleich im ersten Schritt eine fixe Lösegeldforderung zu stellen. Der finale Betrag hängt dann von der Größe des Unternehmens, vom taxierten Wert der erbeuteten Daten und von der Zahlungsfähigkeit des Opfers ab.

Die Malware an sich ist offenbar individuell entwickelt und lässt sich keiner bestehenden Ransomware-Familie zuordnen. Sie ist dabei recht einfach, enthält hardcodierte Werte sowie die während Ver- und Entschlüsselung verwendeten Passwörter.

Soforthilfe für kleine Unternehmen

Nach Download und Öffnen der Datei sollten Betroffene schnell agieren und

– das betroffene Gerät von Netzwerk nehmen, damit die Malware nicht mit den Hackern kommuniziert und weiterverbreitet wird;

– einen vollständigen Sicherheitsscan durchführen;

– Systemadministratoren oder Managed-Service-Provider informieren, damit diese die betroffenen Systeme isolieren und weitere Schäden verhindern;

– Passwörter nicht betroffener Systeme wechseln; sowie

– das Netzwerk auf verdächtige Aktivitäten beobachten.

Ebenso zentral ist es, in Folge jede unaufgefordert eingehende Anfrage zu überprüfen und Passwort-geschützte Daten mit Vorsicht zu behandeln. Wichtig und eigentlich selbstverständlich sind eine Multi-Faktor-Authentifizierung, sichere Backups, das Einspielen aktueller Systemupdates sowie Mitarbeiterschulungen.

Info: Eine ausführliche Analyse der Kampagne findet sich hier: https://www.bitdefender.com/en-us/blog/hotforsecurity/fake-interpol-emails-serve-ransomware.

#Bitdefender