Sodinokibi: Bewerbung mit Ransomware im Anhang

Cyber-Kriminelle greifen laut PSW GROUP derzeit gezielt Personalabteilungen an

[datensicherheit.de, 26.10.2019] IT-Sicherheitsexperten der PSW GROUP mahnen Personalabteilungen von Unternehmen zur Vorsicht: „Cyber-Kriminelle greifen derzeit gezielt Personalabteilungen an, indem diese E-Mails mit angeblichen Bewerbungen versenden. Auf diese Weise wollen Angreifer die ,Sodinokibi‘-Ransomware verbreiten, die auch unter den Namen ,Sodin‘ oder ,REvil‘ bekannt ist. Wer den Anhang, also die vermeintliche Bewerbung öffnet, aktiviert sofort die Ransomware, die sämtliche Funktionen auf dem betroffenen Rechner verschlüsselt“, warnt Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

1.180 Euro in Bitcoin als Lösegeld

Für eine Entschlüsselung fordern die Erpresser laut Tulinska einen Betrag von 0,16 Bitcoin – das sind umgerechnet etwa 1.180 Euro. „Zahlt das Opfer nicht binnen einer Woche, so verdoppelt sich dieser Betrag.“
Als Absender seien neben „Sandra Schneider“ bereits „Martina Peters“ oder „Sabine Lerche“ im Umlauf. „Es ist anzunehmen, dass sich die Cyber-Kriminellen nach und nach neue Namen überlegen, um den Erfolg der Angriffe mit der ,Sodinokibi‘-Ransomware hoch zu halten“, so die IT-Sicherheitsexpertin.

Foto: PSW GROUP

Patrycja Tulinska rät zu Datensicherung auf externem Speichermedium

Selbe Infrastruktur wie beim Verschlüsselungstrojaner GandCrab

Die erst seit Kurzem aktive „Sodinokibi“-Ransomware arbeitet demnach offenbar mit derselben Infrastruktur, welche die Macher des Verschlüsselungstrojaners „GandCrab“ nutzen. Nachdem sie mit „GandCrab“ rund 150 Millionen US-Dollar erbeutet hätten, wollten sich die Kriminellen mit den erwarteten Einnahmen aus „Sodinokibi“ in den Ruhestand verabschieden.
Hinweise auf eine Verbindung zwischen den beiden Verschlüsselungstrojanern habe der Security-Blogger Brian Krebs dargelegt. So berichtet er laut Tulinska unter anderem, dass ein Cyber-Krimineller Anfang Mai 2019 in einschlägigen Untergrundforen weitere Kriminelle für ein neues Ransomware-Projekt habe rekrutieren wollen.

Sodinokibi-Ransomware aka REvil aka Sodin auch bereits über gefälschte E-Mails des BSI verteilt

„Die ,Sodinokibi‘-Ransomware aka ,REvil‘ aka ,Sodin‘ wurde darüber hinaus bereits über gefälschte E-Mails des Bundesamtes für Sicherheit in der Informationstechnik verteilt. In den Spam-Mails mit dem Trojaner an Bord wurde ein Datenmissbrauch vorgetäuscht und auf den Anhang verwiesen. Im anhängenden Zip-Archiv befand sich dann ein Downloader für die ,Sodinokibi‘-Ransomware“, erläutert Tulinska.
Dass Ransomware weiter auf dem Vormarsch sei, beweise ein alter Bekannter: „Emotet“, der im ersten Quartal dieses Jahres bereits sein Unwesen getrieben habe, sei zurück. Erst kürzlich habe das BSI eine Meldung mit dem Titel „Zunahme von erfolgreichen Cyber-Angriffen mit Emotet“ herausgegeben. Der Angriff über E-Mail sei derart ausgeklügelt gewesen, dass sich nicht einmal ausgezeichnet informierte Unternehmen hätten schützen können.

Sodinokibi-Ransomware nutzt jede mögliche Angriffsmöglichkeit

„,Emotet‘ und die ,Sodinokibi‘-Ransomware verteilen sich allerdings unterschiedlich. Die Cyber-Kriminellen hinter ,Emotet‘ nutzen vorrangig das sogenannte Dynamit-Phishing, bei dem sich der Trojaner zwar automatisch, jedoch angepasst an seine ,Zielumgebung‘, beispielsweise ein bestimmtes Unternehmen, verbreitet. Die ,Sodinokibi‘-Ransomware hingegen nutzt jeden Angriff, der möglich ist: Wurden zuerst Sicherheitslücken in Server-Software ausgenutzt, phisht ,Sodin‘ mittlerweile auch über groß angelegte Spam-Kampagnen, etwa per Mailvertising“, erklärt Tulinska.
Die IT-Sicherheitsexpertin rät deshalb einmal mehr zu äußerster Vorsicht in der E-Mail-Kommunikation: „Das eigene Personal muss unbedingt entsprechend geschult werden und bestimmte Verhaltensweisen beherzigen. Dazu gehört, auf das Nachladen von HTML-Inhalten zu verzichten und Nachrichten ausschließlich im Rein-Text anzeigen zu lassen. Das gilt auch für digital signierte E-Mails. Wenngleich Links und Befehle so zwar nicht automatisiert ausgeführt werden, ist das sicherer.“

Grundsätzlich Anhänge in E-Mails mit Skepsis begegnen!

Grundsätzlich sollten Anhänge mit Skepsis betrachtet und nur geöffnet werden, „wenn sichergestellt ist, dass sie auch von diesem Absender stammen und er vertrauenswürdig ist – im Zweifelsfalle hilft eine Rückversicherung per Telefon“. Zudem sollte nicht nur eine gute Anti-Viren-Software installiert sein, sondern diese auch durch regelmäßige Updates auf aktuellem Stand sein. Das Gleiche gelte auch für Clients, Plugins und sonstige Software.
„Eine zusätzliche Datensicherung auf einem externen, verschlüsselten Speichermedium garantiert im Fall einer erfolgreichen Cyber-Attacke, dass die Daten nicht gänzlich verloren sind und wieder aufgespielt werden können“, empfiehlt Tulinska im Hinblick auf regelmäßige Daten-Backups.

Weitere Informationen zum Thema:

PSW GROUP, 02.10.2019
Verschlüsselung / Sodinokibi-Ransomware: Bewerbung mit Folgen

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 25.06.2019
PSW GROUP warnt vor versteckter Malware

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je