Neue Trojaner-Welle mit Verschlüsselungstrojaner Grandcrab

Freitag, 10. Mai 2019


Seit einigen Tagen nehmen Trojaner-Angriffe mit gefälschten Bewerbungs-E-Mails wieder zu. Bereits im März hatte das LKA Niedersachen vor gefälschten Bewerbungen mit dem Verschlüsselungstrojaner Grandcrab 5.2 gewarnt - lesen Sie hier unseren Bericht dazu. 

Jetzt rollt eine neue Welle auf Unternehmen zu!

Im aktuellen Fall werden wieder vermeintliche Bewerbungs-E-Mails mit einem Anhang verschickt. Diese Anhänge können beispielsweise Word-, PDF-Dateien oder Zip-Ordner sein. Diese Dateien werden jeweils mit einem Passwort verschlüsselt, welches in den betroffenen E-Mails direkt genannt wird. Sollten Betroffene diese Dateien mit dem Passwort entschlüsseln und dann öffnen, werden über diese Datei gefährliche Makros gestartet.

Trojaner verschlüsselt unbemerkt Systeme

Laut heise.de nehmen diese Makros direkten Zugriff auf die laufende Windows-Umgebung und verschlüsseln diese mit einem sogenannten Crypto-Trojaner. Dabei handelt es sich wie schon vor einigen Wochen um den Trojaner der Art „Grandcrab“. Der Trojaner verschlüsselt dann anschließend so viele Dateien wie möglich und fordert ein Lösegeld, um diese Dateien vermeintlich wieder frei zu geben. Nach ersten Ermittlungen von heise.de und Hornetsecurity wird durch die Verschlüsselung des Anhangs mit dem Passwort ein Virenscan verhindert. Die Schaddateien können also unbemerkt an Virenscanner und Firewall vorbeigeschleust werden.

Diese Angriffe unterscheiden sich von früheren Versuchen insbesondere dadurch, dass diese Mails gezielt an Unternehmen mit offenen Stellenangeboten gesendet werden, die gefälschte Bewerbungsmail sich konkret auf tatsächlich geschaltete Stellenanzeigen bezieht und der Mail-Text sprachlich erstmal nicht verdächtig wirkt. Daher ist die Gefahr hier besonders groß, dass diese Dateien auch tatsächlich geöffnet werden.

Nicht öffnen, direkt löschen

Sollten Sie diese oder ähnliche E-Mails empfangen haben, empfehlen wir Ihnen, diese direkt zu löschen und weder die Mail noch den Anhang zu öffnen. Andernfalls droht eine Verschlüsselung Ihres gesamten IT-Systems! Informieren Sie alle Ihre Mitarbeiter und Mitarbeiterinnen über die Angriffswelle und weisen Sie darauf hin, dass die Bearbeitung (also auch das Lesen) von Bewerbungen ausschließlich die Aufgabe der Personalabteilung ist. Mit der Adressierung von Schad-E-Mails an (Projekt-) Mailinggruppen zielen die Angreifer auf die Neugier der Mitarbeiter und damit die Schwachstelle „Mensch“ ab.

Sollte Ihr Unternehmen tatsächlich Opfer eines Angriffs werden, gehen Sie nicht auf die Lösegeldforderungen der Angreifer ein – eine Freigabe Ihrer Dateien wird dadurch nicht garantiert!


Folgende allgemeine Sicherheitstipps sollen helfen, dass Angriffe auf Ihre IT-Systeme abgewehrt werden:

 Informieren Sie alle Mitarbeiter und Mitarbeiterinnen, dass ausschließlich die Personalabteilung befugt ist, Bewerbungen zu bearbeiten.

Bitten Sie in Stellenausschreibungen um die Zusendung von Bewerbungen im PDF-Format.

 Überprüfen Sie die Absender- und Empfänger-Adresse der E-Mail und die Angaben im E-Mail-Text. Bei Unstimmigkeiten kontaktieren Sie Ihre IT-Abteilung.

 Öffnen Sie keinesfalls passwortgeschützte Dokumente, wenn die Passwörter in der Mail unaufgefordert mitgeliefert werden.

 Bei suspekten E-Mails fragen Sie Ihre IT-Abteilung um Rat.

 Richten Sie einen Melde-Weg für Sicherheitsvorfälle in Ihrem Unternehmen ein und informieren Sie alle Beschäftigten darüber, dass Vorfälle und der Verdacht von Vorfällen unverzüglich zu melden sind.

Bei dubiosen E-Mails gilt:

 Nicht den Anhang öffnen


 Nicht auf Links oder Bilder in der E-Mail klicken

 Nicht auf die E-Mail antworten

 Nicht weiterleiten, außer an die interne IT zur Prüfung

 Dubiose E-Mails löschen und den Outlook-Papierkorb leeren


Sollten Sie dennoch auf einen Link oder Anhang in einer verdächtigen E-Mail geklickt haben, kontaktieren Sie bitte umgehend Ihre IT/ Ihren IT-Sicherheitsberater/ Ihren Vorgesetzten.

Benötigen Sie Unterstützung bei der Einrichtung eines unternehmensinternen Ablaufs zum Umgang mit Datenschutz- und Informationssicherheitsvorfällen, beraten wir Sie gern. (nl)


Quellen
:
News von heise Security vom 10.05.2019: "Fake-Bewerbungsmails: Trojaner versteckt sich erfolgreich vor Antiviren-Software"

Hornetsecurity vom 08.05.2019: "Schädliche Bewerbungen im Umlauf!"