This page is not currently available in the selected language.

Schützen Sie sich jetzt mit G DATA.

Professionelle Ransomware-Kampagne greift Personalabteilungen mit Bewerbungen an.

Eine aktuelle Ransomware-Welle greift gezielt Personalabteilungen mit gefälschten Bewerbungen an. G DATA-Sicherheitsexperten entdecken beinahe täglich neue Versionen der professionellen Kampagne.
 

Die G DATA Security Labs warnen vor einer aktuellen Malwarekampagne, bei der angebliche Bewerbungen eine Infektion mit Ransomware auslösen können. Alle von G DATA aktuell beobachteten Bewerbungen nutzen Frauennamen und enthalten Lebenslauf, ein Bewerbungsfoto und ein Anschreiben. Die Malware wird in einer Zip-Datei ausgeliefert und enthält darin zwei identische ausführbare Dateien (.exe) die sich nur vom Dateinamen her unterscheiden. Beide Dateien starten bei Ausführung die Verschlüsselung des Systems mit der symmetrischen Stromverschlüsselung Salsa20.

 

G DATA nutzt proaktive Technologien zur Erkennung.

G DATA erkennt die Ransomware derzeit vor allem über die sogenannte Filecloud. Dabei werden die Hashwerte von Dateien vor dem Öffnen auf dem Kundenrechner mit der G DATA Cloud abgeglichen. Liegt ein Eintrag der Datei als bösartig vor, wird der Kunde gewarnt und die Ausführung der Datei verhindert. Ransomware-Infektionen werden durch in die G DATA Antiviren-Software integrierte Anti-Ransomware-Technologie zuverlässig verhindert und können außerdem durch den Behaviour Blocker erkannt werden, wenn ein Prozess zum Beispiel versucht, massenhaft Daten zu verschlüsseln oder spezielle Sicherheitskopien (Shadow-Copies) löscht, ohne dass hierfür eine klare Intention des Nutzers vorliegt.

 

Die angeblichen Bewerbungen werden per E-Mail versendet. Im Inneren wird ein Malware-Framework mit dem Namen GandCrab verwendet. Die GandCrab-Familie ist mindestens seit Anfang 2018 aktiv, es wurden bereits zahlreiche verschiedene Verbreitungswege genutzt – etwa über Exploit-Kits, gecrackte Software oder eben klassisch per infizierten Mailanhang. GandCrab ermittelt zahlreiche Informationen über den PC eines Nutzers, etwa den Nutzernamen, den PC-Namen, die Domäne, das Tastaturlayout und das Betriebssystem. Außerdem wird die öffentliche IP-Adresse gespeichert. Für jeden Nutzer wird eine eindeutige URL auf einem Tor Hidden Service generiert, unter der der Erpresserbetrag und Anweisungen zur Zahlung eingesehen werden können. Der Erpresserbetrag wird in der Höhe an die jeweiligen Opfer angepasst.

 

Die Kriminellen nutzen dabei jeden Tag leicht veränderte Versionen der Malware, um die Erkennung für Antivirenprogramme zu erschweren. G DATA beobachtet die Lage aufmerksam und fügt täglich neue Erkennungen hinzu.

 

 

Sicherheitstipps für Personalabteilungen.

Nutzer sollten Anhänge von E-Mails immer kritisch hinterfragen und prüfen, ob sie dem Absender vertrauen. In Personalabteilungen ist dies natürlich oft nicht möglich. „Personalabteilungen könnten Bewerbungen auf einem speziellen PC öffnen, der nicht mit dem restlichen Netzwerk des Unternehmens verbunden ist“, rät Tim Berghoff, G DATA Security Evangelist. „Diese Vorsichtsmaßnahme gilt insbesondere dann, wenn Personalentscheidungen in kleineren Unternehmen noch direkt von der Geschäftsführung getroffen werden.“ Denn gerade Rechner aus der Geschäftsführung sind ein besonders attraktives Ziel für Kriminelle.

G DATA bietet mit seiner Software neben den klassischen, signaturbasierten Ansätzen eine spezielle Erkennung von Ransomware an. Dabei wird das Verhalten auf dem PC überwacht und Prozesse werden geblockt, wenn eine Software versucht, massenhaft Dateien zu verschlüsseln. Die G DATA-Lösungen bieten ebenfalls eine praktische Backup-Funktion an. Bereits im vergangenen Jahr hatte eine Ransomware-Kampagne mit der Petna-Ransomware gezielt Personalabteilungen angegriffen.

Ihr persönlicher Ansprechpartner.

 

Stefan Müller

E-mail schreiben