Die IT-Sicherheitsexperten der PSW Group mahnen Personalabteilungen von Unternehmen zur Vorsicht: „Cyberkriminelle greifen derzeit gezielt Personalabteilungen an, indem diese E-Mails mit angeblichen Bewerbungen versenden. Auf diese Weise wollen Angreifer die Sodinokibi-Ransomware verbreiten, die auch unter den Namen Sodin oder REvil bekannt ist. Wer den Anhang, also die vermeintliche Bewerbung öffnet, aktiviert sofort die Ransomware, die sämtliche Funktionen auf dem betroffenen Rechner verschlüsselt. Für eine Entschlüsselung fordern die Erpresser einen Betrag von 0,16 Bitcoin – das sind umgerechnet etwa 1.180 Euro. Zahlt das Opfer nicht binnen einer Woche, so verdoppelt sich dieser Betrag“, informiert Patrycja Tulinska, Geschäftsführerin der PSW Group.

Als Absender sind neben Sandra Schneider bereits Martina Peters oder Sabine Lerche im Umlauf. „Es ist anzunehmen, dass sich die Cyberkriminellen nach und nach neue Namen überlegen, um den Erfolg der Angriffe mit der Sodinokibi-Ransomware hoch zu halten“, warnt die IT-Sicherheitsexpertin.

Die erst seit Kurzem aktive Sodinokibi-Ransomware arbeitet offenbar mit derselben Infrastruktur, die die Macher des Verschlüsselungstrojaners GandCrab nutzen. Nachdem sie mit GandCrab rund 150 Millionen Dollar erbeutet haben, wollen sich die Kriminellen mit den erwarteten Einnahmen aus Sodinokibi offenbar in den Ruhestand verabschieden. Hinweise auf eine Verbindung zwischen den beiden Verschlüsselungstrojanern hat der Security-Blogger Brian Krebs dargelegt. So berichtet er unter anderem, dass ein Cyberkrimineller Anfang Mai in einschlägigen Untergrundforen weitere Kriminelle für ein neues Ransomware-Projekt rekrutieren wollte.

Auch GData formulierte Ähnlichkeiten beider Verschlüsselungstrojaner, indem das Unternehmen darauf hinwies, dass „die Cyberkriminellen […] die gleiche Infrastruktur wie die Macher hinter dem Verschlüsselungstrojaner GandCrab [verwenden]“. „Die Sodinokibi-Ransomware aka REvil aka Sodin wurde darüber hinaus bereits über gefälschte E-Mails des Bundesamtes für Sicherheit in der Informationstechnik verteilt. In den Spam-Mails mit dem Trojaner an Bord wurde ein Datenmissbrauch vorgetäuscht und auf den Anhang verwiesen. Im anhängenden Zip-Archiv befand sich dann ein Downloader für die Sodinokibi-Ransomware“, erklärt auch Tulinska.

Dass Ransomware weiter auf dem Vormarsch ist, beweist ein alter Bekannter: Emotet, der im ersten Quartal dieses Jahres bereits sein Unwesen trieb, ist zurück. Erst kürzlich gab das BSI eine Meldung mit dem Titel „Zunahme von erfolgreichen Cyberangriffen mit Emotet“ heraus. Der Angriff über E-Mail war derart ausgeklügelt, dass sich nicht einmal ausgezeichnet informierte Unternehmen schützen konnten.

„Emotet und die Sodinokibi-Ransomware verteilen sich allerdings unterschiedlich. Die Cyberkriminellen hinter Emotet nutzen vorrangig das sogenannte Dynamit-Phishing, bei dem sich der Trojaner zwar automatisch, jedoch angepasst an seine ‚Zielumgebung‘, beispielsweise ein bestimmtes Unternehmen, verbreitet. Die Sodinokibi-Ransomware hingegen nutzt jeden Angriff, der möglich ist: Wurden zuerst Sicherheitslücken in Server-Software ausgenutzt, phisht Sodin mittlerweile auch über groß angelegte Spam-Kampagnen, etwa per Mailvertising“, erklärt Tulinska.

Die IT-Sicherheitsexpertin rät deshalb einmal mehr zu äußerster Vorsicht in der E-Mail-Kommunikation: „Das eigene Personal muss unbedingt entsprechend geschult werden und bestimmte Verhaltensweisen beherzigen. Dazu gehört, auf das Nachladen von HTML-Inhalten zu verzichten und Nachrichten ausschließlich im Rein-Text anzeigen zu lassen.“

Dies gelte auch für digital signierte E-Mails. Wenngleich Links und Befehle so zwar nicht automatisiert ausgeführt werden, sei dies sicherer. Grundsätzlich sollten Anhänge mit Skepsis betrachtet und nur geöffnet werden, wenn sichergestellt ist, dass sie auch von diesem Absender stammen und er vertrauenswürdig ist – im Zweifelsfalle hilft eine Rückversicherung per Telefon. Zudem sollte nicht nur eine gute Antiviren-Software installiert sein, sondern diese auch durch regelmäßige Updates auf aktuellem Stand sein. Das Gleiche gilt auch für Clients, Plugins und sonstige Software. „Eine zusätzliche Datensicherung auf einem externen, verschlüsselten Speichermedium garantiert im Fall einer erfolgreichen Cyberattacke, dass die Daten nicht gänzlich verloren sind und wieder aufgespielt werden können“, so Tulinska im Hinblick auf regelmäßige Daten-Backups.

Weitere Informationen stehen unter www.psw-group.de/blog/bewerbung-mit-folgen/7166 zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.