kaptn - Fotolia
Ransomware GandCrab kommt als Bewerbung getarnt
Deutsche Unternehmen werden derzeit offenbar gezielt mit der Ransomware GandCrab angegriffen. Die Schadsoftware kommt als Anhang einer deutschsprachigen Bewerbung.
Dass sich Ransomware in einer augenscheinlichen Bewerbung versteckt, ist kein wirklich neuer Ansatz der Cyberkriminellen. Offenbar landen derzeit aber wieder vermehrt entsprechend präparierte E-Mails bei deutschen Unternehmen und dort im speziellen bei Personalabteilungen. Sowohl das LKA Niedersachsen als auch der Sicherheitsanbieter G Data warnen vor entsprechenden Nachrichten mit der Ransomware GandCrab im Gepäck.
Nach Angaben des LKA Niedersachsen lautet der entsprechende Betreff der E-Mail beispielsweise „Bewerbung auf die ausgeschriebene Stelle - Nadine Bachert“. G Data berichtet, dass die Angriffswelle seit rund einer Woche läuft und fast jeden Tag neue Bewerbungen erstellt und versendet werden. Dabei würden die verwendeten Namen entsprechend wechseln. Laut G Data kamen neben dem im Beispiel genannten unter anderem folgende Namen zum Einsatz: Hannah Sommer, Viktoria Hagen, Caroline Schneider und Sofia Bachmann. Die Bewerbung enthalte ein Anschreiben, ein Foto sowie einen Lebenslauf. Sicherheitssoftware und Spam-Filter würden die entsprechenden E-Mails häufig noch nicht als schädlich einstufen.
Für die Malware wird das Ransomware-Framework GandCrab in der Version 4 verwendet. So wird die Schadsoftware als Anhang verpackt in einer ZIP-Datei mitgeliefert. In der Datei befinden sich zwei identische ausführbare Dateien, die sich nur im Dateinamen unterscheiden. Wird eine der Dateien vom Anwender ausgeführt, startet die Verschlüsselung des Systems mit einer symmetrischen Verschlüsselung. Für den Schlüssel um den verschlüsselten Rechner wiederherzustellen wird dann ein Lösegeld erpresst. Für jeden Nutzer würde eine eindeutige URL auf einen Tor Hidden Service generiert. Dort könne der Lösegeldbetrag sowie die Anweisungen zur Zahlung eingesehen werden. Der Betrag wird laut G Data in der Höhe an das jeweilige Opfer angepasst.
Derzeit sei die Schadsoftware nur auf Windows-Rechner ausgerichtet. Administratoren sollten die Mitarbeiter im Unternehmen entsprechend sensibilisieren.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
