Sodinokibi: Bewerbung mit Ransomware im Anhang

dp — Sat, 26 Oct 2019 10:18:22 +0000

Cyber-Kriminelle greifen laut PSW GROUP derzeit gezielt Personalabteilungen an

[datensicherheit.de, 26.10.2019] IT-Sicherheitsexperten der PSW GROUP mahnen Personalabteilungen von Unternehmen zur Vorsicht: „Cyber-Kriminelle greifen derzeit gezielt Personalabteilungen an, indem diese E-Mails mit angeblichen Bewerbungen versenden. Auf diese Weise wollen Angreifer die ,Sodinokibi‘-Ransomware verbreiten, die auch unter den Namen ,Sodin‘ oder ,REvil‘ bekannt ist. Wer den Anhang, also die vermeintliche Bewerbung öffnet, aktiviert sofort die Ransomware, die sämtliche Funktionen auf dem betroffenen Rechner verschlüsselt“, warnt Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

1.180 Euro in Bitcoin als Lösegeld

Für eine Entschlüsselung fordern die Erpresser laut Tulinska einen Betrag von 0,16 Bitcoin – das sind umgerechnet etwa 1.180 Euro. „Zahlt das Opfer nicht binnen einer Woche, so verdoppelt sich dieser Betrag.“
Als Absender seien neben „Sandra Schneider“ bereits „Martina Peters“ oder „Sabine Lerche“ im Umlauf. „Es ist anzunehmen, dass sich die Cyber-Kriminellen nach und nach neue Namen überlegen, um den Erfolg der Angriffe mit der ,Sodinokibi‘-Ransomware hoch zu halten“, so die IT-Sicherheitsexpertin.

Foto: PSW GROUP

Patrycja Tulinska rät zu Datensicherung auf externem Speichermedium

Selbe Infrastruktur wie beim Verschlüsselungstrojaner GandCrab

Die erst seit Kurzem aktive „Sodinokibi“-Ransomware arbeitet demnach offenbar mit derselben Infrastruktur, welche die Macher des Verschlüsselungstrojaners „GandCrab“ nutzen. Nachdem sie mit „GandCrab“ rund 150 Millionen US-Dollar erbeutet hätten, wollten sich die Kriminellen mit den erwarteten Einnahmen aus „Sodinokibi“ in den Ruhestand verabschieden.
Hinweise auf eine Verbindung zwischen den beiden Verschlüsselungstrojanern habe der Security-Blogger Brian Krebs dargelegt. So berichtet er laut Tulinska unter anderem, dass ein Cyber-Krimineller Anfang Mai 2019 in einschlägigen Untergrundforen weitere Kriminelle für ein neues Ransomware-Projekt habe rekrutieren wollen.

Sodinokibi-Ransomware aka REvil aka Sodin auch bereits über gefälschte E-Mails des BSI verteilt

„Die ,Sodinokibi‘-Ransomware aka ,REvil‘ aka ,Sodin‘ wurde darüber hinaus bereits über gefälschte E-Mails des Bundesamtes für Sicherheit in der Informationstechnik verteilt. In den Spam-Mails mit dem Trojaner an Bord wurde ein Datenmissbrauch vorgetäuscht und auf den Anhang verwiesen. Im anhängenden Zip-Archiv befand sich dann ein Downloader für die ,Sodinokibi‘-Ransomware“, erläutert Tulinska.
Dass Ransomware weiter auf dem Vormarsch sei, beweise ein alter Bekannter: „Emotet“, der im ersten Quartal dieses Jahres bereits sein Unwesen getrieben habe, sei zurück. Erst kürzlich habe das BSI eine Meldung mit dem Titel „Zunahme von erfolgreichen Cyber-Angriffen mit Emotet“ herausgegeben. Der Angriff über E-Mail sei derart ausgeklügelt gewesen, dass sich nicht einmal ausgezeichnet informierte Unternehmen hätten schützen können.

Sodinokibi-Ransomware nutzt jede mögliche Angriffsmöglichkeit

„,Emotet‘ und die ,Sodinokibi‘-Ransomware verteilen sich allerdings unterschiedlich. Die Cyber-Kriminellen hinter ,Emotet‘ nutzen vorrangig das sogenannte Dynamit-Phishing, bei dem sich der Trojaner zwar automatisch, jedoch angepasst an seine ,Zielumgebung‘, beispielsweise ein bestimmtes Unternehmen, verbreitet. Die ,Sodinokibi‘-Ransomware hingegen nutzt jeden Angriff, der möglich ist: Wurden zuerst Sicherheitslücken in Server-Software ausgenutzt, phisht ,Sodin‘ mittlerweile auch über groß angelegte Spam-Kampagnen, etwa per Mailvertising“, erklärt Tulinska.
Die IT-Sicherheitsexpertin rät deshalb einmal mehr zu äußerster Vorsicht in der E-Mail-Kommunikation: „Das eigene Personal muss unbedingt entsprechend geschult werden und bestimmte Verhaltensweisen beherzigen. Dazu gehört, auf das Nachladen von HTML-Inhalten zu verzichten und Nachrichten ausschließlich im Rein-Text anzeigen zu lassen. Das gilt auch für digital signierte E-Mails. Wenngleich Links und Befehle so zwar nicht automatisiert ausgeführt werden, ist das sicherer.“

Grundsätzlich Anhänge in E-Mails mit Skepsis begegnen!

Grundsätzlich sollten Anhänge mit Skepsis betrachtet und nur geöffnet werden, „wenn sichergestellt ist, dass sie auch von diesem Absender stammen und er vertrauenswürdig ist – im Zweifelsfalle hilft eine Rückversicherung per Telefon“. Zudem sollte nicht nur eine gute Anti-Viren-Software installiert sein, sondern diese auch durch regelmäßige Updates auf aktuellem Stand sein. Das Gleiche gelte auch für Clients, Plugins und sonstige Software.
„Eine zusätzliche Datensicherung auf einem externen, verschlüsselten Speichermedium garantiert im Fall einer erfolgreichen Cyber-Attacke, dass die Daten nicht gänzlich verloren sind und wieder aufgespielt werden können“, empfiehlt Tulinska im Hinblick auf regelmäßige Daten-Backups.

Weitere Informationen zum Thema:

PSW GROUP, 02.10.2019
Verschlüsselung / Sodinokibi-Ransomware: Bewerbung mit Folgen

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 25.06.2019
PSW GROUP warnt vor versteckter Malware

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

Hinter Bewerbungen versteckt: Sodinokibi-Ransomware

dp — Wed, 17 Jul 2019 21:41:53 +0000

Macher nutzen offenbar gleiche Infrastruktur wie zuvor bei „GandCrab“

[datensicherheit.de, 17.07.2019] Laut einer aktuellen Warnung von G DATA wird derzeit eine neue Ransomware-Familie über gefälschte Bewerbungen verteilt. Die Macher nutzten offenbar die gleiche Infrastruktur wie zuvor bei „GandCrab“. Demnach greifen Cyber-Kriminelle „gezielt Personalabteilungen in Deutschland mit einer Variante der ,Sodinokibi‘-Ransomware an“. Seit dem 16. Juli 2017 verschickten Angreifer entsprechende E-Mails, die angeblich Bewerbungen enthielten. Als Namen der vermeintlichen Bewerberinnen seien derzeit „Sandra Schneider“, „Sabine Lerche“ und „Martina Peters“ im Umlauf.

Verwendete Namen werden sich wohl schnell ändern

Bei schnelllebigen Ransomware-Kampagnen sei allerdings zu erwarten, dass sich die verwendeten Namen schnell änderten, um den Erfolg der Angriffe zu erhöhen.
Ransomware werde immer wieder über zum Teil professionell aussehende Bewerbungen verteilt, mittlerweile sogar häufig auf konkret bei einem Unternehmen ausgeschriebene Stellen.

Erpresser fordern umgerechnet rund 1.300 Euro Lösegeld

Karsten Hahn, Sicherheitsexperte bei G DATA, erklärt: „Die ,Sodinokibi‘-Ransomware hat sich in kurzer Zeit zu der fünfthäufigsten Ransomware-Familie entwickelt. Offenbar verwendet das Team dahinter die gleiche Taktik bei der Verbreitung der Spam-Mails wie zuvor bei ,GandCrab‘.“
Die Erpresser forderten einen Betrag von 0,16 „Bitcoin“. Das entspreche derzeit in rund 1.300 Euro. Nach einer Woche verdoppele sich der zu zahlende Betrag.

Gleiche Infrastruktur wie beim Verschlüsselungstrojaner GandCrab

Die „Sodinokibi“-Ransomware, auch unter den Namen „Sodin“ und „REvil“ bekannt, sei erst seit kurzer Zeit aktiv.Die Cyber-Kriminellen verwendeten momentan die gleiche Infrastruktur wie die Macher hinter dem Verschlüsselungstrojaner „GandCrab“. Diese hätten aber unlängst angekündigt, sich aus dem Geschäft zurückziehen zu wollen.

Mittels KI-Technologie Malware-Samples aufspüren und unschädlich machen

Kunden von G DATA seien durch mehrere Technologien vor dem Angriff geschützt – mittels KI-Technologie könnten leicht veränderte Malware-Samples schnell aufgespürt und unschädlich gemacht werden.
Das betreffende Anti-Ransomware-Modul biete noch einen zusätzlichen Schutz – es springe ein, wenn ohne ersichtlichen Grund Dateien auf der Festplatte verschlüsselt werden sollen, und stoppe die Infektion.