Ransomware statt Interpol-Beweisvideo.
Im Rahmen einer Malware-Kampagne haben Cyberkriminelle kleine Unternehmen in Europa, Asien, dem Mittleren Osten und den USA angeschrieben. Dabei gaben sie sich laut Analyse der Bitdefender-Experten als Beamte von Interpol aus.
Zusammenfassung (TL; DR):
- Cyberkriminelle attackieren gezielt kleine Unternehmen weltweit mit gefälschten Interpol-Mails, die eine individuell entwickelte Ransomware tarnen.
- Die Schadsoftware verschlüsselt Laufwerke und zwingt Opfer zu Lösegeldverhandlungen über Tox-Chat, wobei sie oft einfache, Social-Engineering-basierte Taktiken nutzen.
- Betroffene sollten infizierte Geräte umgehend vom Netzwerk trennen und Sicherheitsmaßnahmen wie Backups und Mitarbeiterschulungen etablieren.
Die Betrüger behaupteten, ein passwortgeschütztes Archiv mit Dokumenten und Videomaterial zu verdächtigen Aktivitäten des Opferunternehmens zuzusenden. Dahinter verbarg sich in Wirklichkeit Ransomware. Die Opfer fanden sich in verschiedenen Branchen wie etwa Lebensmittel, Landwirtschaft, Kanzleien, Pharmaindustrie, Medien, Technologie und Finanzdienstleistung. Die Kampagne, die über den Druck auf die Empfänger funktioniert, belegt, dass auch ein relativ einfacher Code gepaart mit überzeugendem Social Engineering eine ernsthafte Bedrohung werden kann. Die Experten rechnen damit, dass solche Attacken in leicht abgewandelter Form jederzeit wieder ausgespielt werden können.
Vor allem KMUs im Fokus der Interpol-Kampagne
Vor allem kleine Unternehmen ohne dezidierte IT- oder IT-Sicherheitsteams, mit begrenzten Ressourcen und verteilten Sicherheitskompetenzen sind ein einfaches Ziel für Angreifer. Sie spekulieren auf Mitarbeiter, für die IT-Sicherheit oder Compliance nur einige von vielen Aufgaben sind. Sie gehen oft zu Recht davon aus, dass kleine Unternehmen keinen Prozess etabliert haben, um den Wahrheitsgehalt einer Kontaktaufnahme zu überprüfen.
Die Hacker wurden per Link auf eine Proton-Drive-Datei mit der Ransomware gelenkt. Das notwendige Passwort lieferten sie passenderweise gleich mit. Die bösartige ausführbare Datei war als Video-Datei getarnt. Im Anschluss versuchte die heruntergeladene Malware verfügbare Laufwerke zu verschlüsseln. Die Urheber der Kampagne meldeten sich beim Angreifer mit der Nachricht der erfolgten Ransomware-Attacke. Anstelle einer Lösegeldforderung wurden die Opfer gebeten, ein Lösegeld über einen Tox-Chat zu verhandeln.
Zunehmend treten Ransomware-Akteure auf diese Weise in Kontakt mit den Opfern, anstatt gleich im ersten Schritt eine fixe Lösegeldforderung zu stellen. Der finale Betrag hängt dann von der Größe des Unternehmens, vom taxierten Wert der erbeuteten Daten und von der Zahlungsfähigkeit des Opfers ab.
Die Malware an sich ist offenbar individuell entwickelt und lässt sich keiner bestehenden Ransomware-Familie zuordnen. Sie ist dabei recht einfach, enthält hardcodierte Werte sowie die während Ver- und Entschlüsselung verwendeten Passwörter.
Soforthilfe für kleine Unternehmen
- Nach Download und Öffnen der Datei sollten Betroffene schnell agieren und das betroffene Gerät von Netzwerk nehmen, damit die Malware nicht mit den Hackern kommuniziert und weiterverbreitet wird;
- einen vollständigen Sicherheitsscan durchführen;
- Systemadministratoren oder Managed-Service-Provider informieren, damit diese die betroffenen Systeme isolieren und weitere Schäden verhindern;
- Passwörter nicht betroffener Systeme wechseln; sowie
- das Netzwerk auf verdächtige Aktivitäten beobachten.
Ebenso zentral ist es, in Folge jede unaufgefordert eingehende Anfrage zu überprüfen und Passwort-geschützte Daten mit Vorsicht zu behandeln. Wichtig und eigentlich selbstverständlich sind eine Multi-Faktor-Authentifizierung, sichere Backups, das Einspielen aktueller Systemupdates sowie Mitarbeiterschulungen.


Bitdefender
