Verschlüsselung

Sodinokibi-Ransomware: Bewerbung mit Folgen

2. Oktober 2019 von Bianca Wellbrock

Ransomware nutzt alte Verbreitungsmethode
© Florian Roth - Fotolia.com

Personalabteilungen in Unternehmen sind zur Vorsicht ermahnt: Derzeit verbreitet sich die Sodinokibi-Ransomware durch gefälschte Bewerbungen. Die Sodinokibi-Ransomware ist auch unter den Namen Sodin oder REvil bekannt. Sie ähnelt der Ransomware GandCrab und etablierte sich binnen kürzester Zeit als fünfhäufigste Ransomware-Familie.

Sodinokibi-Ransomware: Malware-Mails als Fake-Bewerbungen

Cyberkriminelle greifen gezielt Personalabteilungen an: Seit dem 16. Juli 2019 versenden Angreifer E-Mails, die angeblich eine Bewerbung enthalten. Als Namen sind Neben Sandra Schneider bereits Martina Peters oder Sabine Lerche im Umlauf. Es ist anzunehmen, dass sich die Cyberkriminellen nach und nach neue Namen überlegen, um den Erfolg der Angriffe mit der Sodinokibi-Ransomware hoch zu halten.

In der E-Mail fordern die Erpresser einen Betrag von 0,16 Bitcoin – das sind umgerechnet etwa 1.180 € (Stand: September 2019). Zahlt das Opfer nicht binnen einer Woche, so verdoppelt sich dieser Betrag.

Die erst seit kurzem aktive Sodinokibi-Ransomware arbeitet offenbar mit derselben Infrastruktur, die die Macher des Verschlüsselungstrojaners GandCrab nutzen. Diese möchten sich nun, nachdem sie rund 150 Millionen US-Dollar mit GandCrab eingenommen haben, in den Ruhestand verabschieden. Hinweise auf eine Verbindung zwischen den beiden Verschlüsselungstrojanern hat der Security-Blogger Brian Krebs in einem Blogbeitrag dargelegt. Darin berichtet Krebs unter anderem, dass ein Cyberkrimineller Anfang Mai in einschlägigen Untergrundforen weitere Kriminelle für ein neues Ransomware-Projekt rekrutieren wolle. Auch G DATA formulierte Ähnlichkeiten beider Verschlüsselungstrojaner in einem Blogbeitrag: „Die Cyberkriminellen verwenden derzeit die gleiche Infrastruktur wie die Macher hinter dem Verschlüsselungstrojaner GandCrab“, heißt es.

Die Sodinokibi-Ransomware aka REvil aka Sodin wurde darüber hinaus über gefälschte Mails des Bundesamts für Sicherheit in der Informationstechnik (BSI) verteilt. In einer kurzen Sicherheitswarnung erklärt sich das BSI: E-Mails von der Adresse und dem Betreff „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“ seien Spam-Mails mit dem Trojaner an Bord. Es werde ein „Datenmissbrauch“ vorgetäuscht und auf den Anhang verwiesen. Im anhängenden Zip-Archiv befindet sich ein Downloader für die Sodinokibi-Ransomware.

Das Schweizerische GovCert.ch (Computer Security Incident Response Teams der Schweizer Regierung) sowie Melani (Melde- und Analysestelle Informationssicherung des Bundes) warnen zudem davor, dass die Sodinokibi-Ransomware auch als „Fax-Anhang“ verschickt wird. Per E-Mail wird von den Cyberkriminellen ein Fax im Anhang angekündigt. GovCert gibt den Betreff dieser E-Mail auf Twitter mit „Sie haben ein Fax, Absender HelloFax“ wieder.

Aktuelle Ransomware auf dem Vormarsch

Während die Angst vor GandCrab sinken kann, wollen sich doch die Macher in den vorzeitigen Ruhestand zurückziehen, gibt es noch genügend andere Ransomware-Varianten, vor denen man sich in Acht nehmen sollte. Neben der Sodinokibi-Ransomware wäre dies allen voran Emotet; ein Verschlüsselungstrojaner, vor dem wir in diesem Jahr ebenfalls gewarnt haben.

Im Sommer wurde es ruhiger um Emotet, jetzt scheinen die Macher aus der Sommerpause zurückgekehrt zu sein. Erst kürzlich gab das BSI eine Meldung mit dem Titel „Zunahme von erfolgreichen Cyber-Angriffen mit Emotet“ heraus. Nicht mal ausgezeichnet informierte Unternehmen konnten sich schützen: So wurde auch die Heise Medien GmbH & Co. KG Opfer von Emotet.

Emotet und die Sodinokibi-Ransomware verteilen sich unterschiedlich. Die Gang hinter Emotet nutzt vorrangig das sogenannte Dynamit-Phishing. Heißt: Der Trojaner verbreitet sich zwar automatisch, jedoch angepasst an seine „Zielumgebung“, beispielsweise ein bestimmtes Unternehmen. Die Sodinokibi-Ransomware hingegen nutzt jeden Angriff, der möglich ist: Wurden zuerst Sicherheitslücken in Server-Software ausgenutzt, phisht Sodin mittlerweile auch über groß angelegte Spam-Kampagnen, etwa per Mailvertising.

Vorsicht in der Mail-Kommunikation

Lassen Sie Vorsicht in Ihrer E-Mail-Kommunikation walten! Besprechen Sie dies unbedingt mit Ihrer Personalabteilung, denn gerade bei eingehenden Bewerbungs-E-Mails gilt es, genauer hinzuschauen. Es ist wichtig, das eigene Personal entsprechend zu schulen – oder durch einen starken Partner schulen zu lassen. Werfen Sie dafür gerne einen Blick auf unsere Website über Awareness-Schulungen.

Ansonsten gilt für die Sodinokibi-Ransomware, was wir Ihnen bereits zu eFail mit auf den Weg gegeben haben, nachzulesen in unserem Blogbeitrag „Sichere E-Mail-Kommunikation: Umgang mit eFail„:

  • Verzichten Sie aufs Nachladen von HTML-Inhalten – lassen Sie sich Nachrichten im Rein-Text anzeigen. Wenngleich Links und Befehle so nicht automatisiert ausgeführt bzw. verfolgt werden, agieren Sie sicher.
  • Auch digital signierte E-Mails öffnen Sie idealerweise im Rein-Text-Format.
  • Seien Sie skeptisch bei Anhängen und öffnen Sie diese nur, wenn sichergestellt ist, dass sie auch von diesem Absender kommen.
    Installieren Sie eine gute Anti-Viren-Software und halten Sie diese stets aktuell.
  • Sichern Sie Ihre Daten regelmäßig. Legen Sie diese Sicherung idealerweise verschlüsselt auf einem externen Speichermedium ab.

Haben Sie Fragen zu Ransomware im Allgemeinen oder zur Sodinokibi-Ransomware im Besonderen? Nutzen Sie dafür gerne unsere Kommentar-Funktion oder nehmen Sie Kontakt zu unseren Experten auf.

Wie hat Ihnen dieser Artikel gefallen?

Average rating / 5. Vote count:



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu