Eine aktuelle Ransomware-Welle greift gezielt Personalabteilungen mit gefälschten Bewerbungen an. G DATA-Sicherheitsexperten entdecken beinahe täglich neue Versionen der professionellen Kampagne.
Die G DATA Security Labs warnen vor einer aktuellen Malwarekampagne, bei der angebliche Bewerbungen eine Infektion mit Ransomware auslösen können. Alle von G DATA aktuell beobachteten Bewerbungen nutzen Frauennamen und enthalten Lebenslauf, ein Bewerbungsfoto und ein Anschreiben. Die Malware wird in einer Zip-Datei ausgeliefert und enthält darin zwei identische ausführbare Dateien (.exe) die sich nur vom Dateinamen her unterscheiden. Beide Dateien starten bei Ausführung die Verschlüsselung des Systems mit der symmetrischen Stromverschlüsselung Salsa20.
„Die von uns erkannten und abgewehrten Bedrohungen richten sich vor allem an Unternehmen“, sagt Tim Berghoff, Security Evangelist bei G DATA. „Die Kriminellen arbeiten sehr professionell, wir sehen im Unterschied zu anderen Ransomware-Kampagnen kaum orthographische Fehler. Außerdem wird bei jeder Malware-Welle ein professionell aussehendes Bewerbungsbild verwendet. Aus unserer Telemetrie geht hervor, dass die Erkennungen mit jeder neuen Welle zunehmen - entweder versenden die Kriminellen mehr E-Mails, oder sie haben einen besseren Datensatz mit einem größeren Teil tatsächlich aktiver Mailadressen.“ Die aktuelle Kampagne läuft seit rund einer Woche, an fast jedem Tag wird eine neue Bewerbung erstellt und versendet. Am Montag wurden die Bewerbungen unter dem Namen Hannah Sommer verschickt, frühere Wellen wurden mit den Namen Viktoria Hagen, Caroline Schneider, Nadine Bachert und Sofia Bachmann versehen.
Die von G DATA analysierten E-Mails mit dem bösartigen Anhang weisen häufig angepasste, unterschiedliche Betreffzeilen auf und haben verschiedene Absender – Spam-Filter werden die Mails daher häufig nicht erkennen. Verwendet wird das Ransomware-Framework GandCrab in Version 4. Die Software wird von Kriminellen häufig gegen Geld oder Provision weitergegeben und kann dann von ganz unterschiedlichen Akteuren genutzt werden - und auch über unterschiedliche Angriffsvektoren verbreitet werden.
G DATA nutzt proaktive Technologien zur Erkennung
G DATA erkennt die Ransomware derzeit vor allem über die sogenannte Filecloud. Dabei werden die Hashwerte von Dateien vor dem Öffnen auf dem Kundenrechner mit der G DATA Cloud abgeglichen. Liegt ein Eintrag der Datei als bösartig vor, wird der Kunde gewarnt und die Ausführung der Datei verhindert. Ransomware-Infektionen werden durch in die G DATA Antiviren-Software integrierte Anti-Ransomware-Technologie zuverlässig verhindert, und kann außerdem durch den Behaviour Blocker erkannt werden, wenn ein Prozess zum Beispiel versucht, massenhaft Daten zu verschlüsseln oder spezielle Sicherheitskopien (Shadow-Copies) löscht, ohne dass hierfür eine klare Intention des Nutzers vorliegt.
Die angeblichen Bewerbungen werden per E-Mail versendet. Im Inneren wird ein Malware-Framework mit dem Namen GandCrab verwendet. Die GandCrab-Familie ist mindestens seit Anfang 2018 aktiv, es wurden bereits zahlreiche verschiedene Verbreitungswege genutzt – etwa über Exploit-Kits, gecrackte Software oder eben klassisch per infiziertem Mailanhang. GandCrab ermittelt zahlreiche Informationen über den PC eines Nutzers, etwa den Nutzernamen, den PC-Namen, die Domäne, das Tastaturlayout und das Betriebssystem. Außerdem wird die öffentliche IP-Adresse gespeichert. Für jeden Nutzer wird eine eindeutige URL auf einem Tor Hidden Service generiert, unter der der Erpresserbetrag und Anweisungen zur Zahlung eingesehen werden können. Der Erpresserbetrag wird in der Höhe an die jeweiligen Opfer angepasst.
Die Kriminellen nutzen dabei jeden Tag leicht veränderte Versionen der Malware, um die Erkennung für Antivirenprogramme zu erschweren. G DATA beobachtet die Lage aufmerksam und fügt täglich neue Erkennungen hinzu.
Sicherheitstipps für Personalabteilungen
Nutzer sollten Anhänge von E-Mails immer kritisch hinterfragen und prüfen, ob sie dem Absender vertrauen. In Personalabteilungen ist dies natürlich oft nicht möglich. „Personalabteilungen könnten Bewerbungen auf einem speziellen PC öffnen, der nicht mit dem restlichen Netzwerk des Unternehmens verbunden ist“, rät Tim Berghoff, G DATA Security Evangelist. „Diese Vorsichtsmaßnahme gilt insbesondere dann, wenn Personalentscheidungen in kleineren Unternehmen noch direkt von der Geschäftsführung getroffen werden.“ Denn gerade Rechner aus der Geschäftsführung sind ein besonders attraktives Ziel für Kriminelle.
G DATA bietet mit seiner Software neben den klassischen, signaturbasierten Ansätzen eine spezielle Erkennung von Ransomware an. Dabei wird das Verhalten auf dem PC überwacht und Prozesse geblockt, wenn eine Software versucht, massenhaft Dateien zu verschlüsseln. Die G DATA-Lösungen bieten ebenfalls eine praktische Backup-Funktion an. Bereits im vergangengen Jahr hatte eine Ransomware-Kampagne mit der Petna-Ransomware gezielt Personalabteilungen angegriffen.
Indicators of Compromise
- Bewerbung - Sofia Bachmann - 24.8.2018.exe: c9941b3fd655d04763721f266185454bef94461359642eec724d0cf3f198c988
- Nadine Bachert - Bewerbung - 29.08.2018.exe: cbaa81fdd6cd37c3f7cd51a96782975fbdb27329564f47124723f48e615a758c
- Caroline Schneider - Bewerbung - 30.08.2018.exe: 020235b370f152a7afc0258df02558bad8d8ba57b90d1eec25228689d5eb29bb
- Viktoria Hagen - Bewerbung und Lebenslauf - 31.08.2018.exe: 58672dd7f57fa39201b76e9d87988ecdc030e83fa50af3dc3fab426b5022c866
- Hannah Sommer - Bewerbung und Lebenslauf 03.09.2018.exe: 4700a6af33a5c5052ea0598b74395d4e8086956ea4e1cb2fe730f1807f760da3
Tim Berghoff
Security Evangelist
