Erpressungstrojaner GandCrab
Der neueste Erpressungstrojaner kommt via Bewerbung ins Firmen-Postfach
Zur Zeit sind wieder vermehrt gefährliche Mails in Umlauf. Das trojanische Pferd im Email-Postfach – auch Gandcrab genannt – bezieht sich auf gefälschte Bewerbungsmails an Firmen. Personaler und andere Verantwortliche sollten Vorsicht walten lassen und die Dateianhänge von eingehenden Bewerbungen vor dem Öffnen zuerst überprüfen. Der bloße Empfang der Fake-Bewerbungen ist dabei erstmal unproblematisch.
Erst beim Öffnen des Anhangs wird es dann gefährlich. Im Dateianhang sind meistens ein Bild und ein Zip-Archiv zu finden und in letzterem befindet sich der Erpressungstrojaner in Form einer .exe-Datei. Die .exe-Datei sollte auf keinen Fall geöffnet bzw. ausgeführt werden – andernfalls wird der Computer infiziert.
Gandcrab verschlüsselt die auf dem PC gespeicherten Dateien, die danach die Dateiendung „.krab“ aufweisen. Mit den gesperrten Dateien ist nichts mehr anzufangen, es sei denn man bezahlt das von den Erpressern geforderte Lösegeld. Erst nach Bezahlung der Summe rücken die Cyber-Kriminellen dann den Schlüssel heraus, mit dem die Daten wieder freigegeben werden können.
Lösegeld bezahlen: Ja oder nein?
Laut LKA (Landeskriminalamt) und einigen Experten soll man das Lösegeld auf keinen Fall zahlen und sich erstmal an die zentrale Ansprechstelle Cybercrime (ZAC) der Polizei wenden.
Wie kann man die gefälschten Mails erkennen?
Generell sind die betrügerischen Mailings immer besser gemacht und auch offensichtliche Fehler sind seltener. Woran man allg. Betrug-Mailings erkennt, haben wir im Beitrag Wie falsche Chefs und „Fake-Präsidenten“ ganz bequem an Millionen kommen näher erläutert. Auf jeden Fall ist man mit einer guten Sicherheitslösung am besten beraten.
Als sich die Nachricht über die Erpressungstrojaner verbreitet hat, haben bereits 37 von 67 Scannern bei der betroffenen Datei Alarm geschlagen (darunter waren u.a. Avira, Kaspersky und Bitdefender). Die Mails erkennt man durch typische Betreff-Phrasen wie „Bewerbung auf die ausgeschriebene Stelle – Hannah Sommer“ o.ä.
Aktuell konzentrieren sich die Mail-Angriffe angeblich nur auf Windows-PCs in Unternehmen. Linux oder macOS Betriebssysteme sind derzeit nicht bedroht.
Gerade die Antiviren-Schutz Software aus Rumänien Bitdefender gilt als äußerst effektiv im Schutz gegen neuste Bedrohungen aus dem Internet und noch unbekannte Bedrohungen. Besonders der Phishing- und Spam-Schutz für Exchange-Mail-Server sind hier hervorzuheben.
Du willst mehr über Bitdefender erfahren?
Schreib‘ uns einfach eine kurze Mail. Wir melden uns dann bei dir!
Wie bekomme ich meine verschlüsselten Daten wieder?
Im Moment gibt es noch keine kostenlose Entschlüsselungs-Software, man kann aber auf der Webseite von ID Ransomware Dateien hochladen und identifizieren lassen. Somit kann man zumindest prüfen, ob es zu einer bestimmten Datei schon einen bekannten Weg gibt die gesperrten Dateien wieder zu entschlüsseln.
Sowohl Firmen als auch private Nutzer sollten regelmäßig Backups von ihren Daten machen, damit diese im Falle einer Infektion einfach wieder zurück auf den PC gespielt werden können. Dabei ist zu beachten, dass der Backup-Speicher nicht an einem Computer angeschlossen bzw. mit dem Netzwerk verbunden ist.
Ganz allgemein gilt natürlich: Anhänge in E-Mails sollten nicht einfach unüberlegt geöffnet werden. Ebenso wenig ratsam ist es natürlich, auf dubiose Links zu klicken.
Kaspersky-Spionage? Nutzer sollten nach wie vor vorsichtig sein!
„Russische Hacker haben die NSA ausspioniert – über ein Antiviren-Programm des russischen Anbieters Kaspersky. Ob die Virenjäger davon wussten oder nicht, ist eigentlich egal: Das Problem ist die Antiviren-Software an sich.“ – So heißt es in einem Artikel vom Stern.
Bereits im Jahr 2015 konnte ein Spionage-Trojaner im Netzwerk des russischen Unternehmens Kaspersky sein Unwesen treiben und das System des eigentlichen Virenjägers infizieren. Die Schadsoftware konnte sich via Trojaner-Mail ausbreiten und wurde zudem erst Monate später entdeckt. In der Zwischenzeit suchten die Angreifer u.a. nach zukünftigen Schutzmechanismen für Betriebssysteme.
Die Vorwürfe, dass der russische Antiviren-Software Hersteller mit den russischen Geheimdiensten zusammenstecken soll sind ja schon lange bekannt und so alt wie das Unternehmen. Kaspersky soll bereits seit 2012 verstärkt Leute mit Verbindungen zum russischen Geheimdienst FSB (Federal Security Service) beschäftigt und Daten von über 400 Millionen Kunden an diesen weitergegeben haben.
Das Unternehmen bestreitet zwar immer wieder, dass die Daten persönlich zuordenbar seien, jedoch bezweifeln Insider das. Ebenso verdächtig ist die Tatsache, dass Kaspersky eher mit aufsehenerregenden NSA-Enthüllungen aufwartet (bzgl. versteckter Spionagesoftware in Festplatten-Firmware oder Ähnlichem), über russische Cyber-Attacken jedoch größtenteils schweigt…
Auch wenn Kaspersky augenscheinlich als leistungsfähige und funktionierende Antiviren-Lösung gilt: Die negativen Berichte und andere besorgniserregenden Schlagzeilen reißen nicht ab. Im 3. Quartal dieses Jahres häuften sich wieder neue Erkenntnisse über die angeblichen Machenschaften der Firma. Israelis haben entdeckt, dass Kasperskys Software als „eine Art Google“ missbraucht und nach NSA-Werkzeugen durchsucht wurde.
„Spione, die Spione beim Ausspionieren von Spionen erwischt haben“ – so beschreibt die New York Times, wie der US-Geheimdienst NSA bemerkt hat, dass ihm 2015 diverse, hochbrisante Werkzeuge abhanden gekommen sind.
Vor 3 Jahren haben Geheimdienstler das Netzwerk von Kaspersky gehackt und dabei gemerkt, dass sie nicht die einzigen waren: Russische Hacker benutzten die Antiviren-Software als Suchmaschine, um die PCs von Kunden (auch US Behörden) nach sensiblen Daten und Codenamen für US Geheimdienst-Programme zu durchsuchen.
Bei mindestens einem NSA Mitarbeiter wurden Anleitungen und Werkzeuge, um in fremde Netzwerke einzudringen, sowie Informationen darüber, wie der Geheimdienst US-amerikanische Netzwerke verteidigt, gefunden. Auf dem gehackten PC war Kasperskys Software installiert. Als die Israelis ihren NSA Verbündeten von den russischen Machenschaften erzählten, wurde allen US Behörden die Nutzung von Kaspersky-Produkten verboten.
Kaspersky wurde in den USA schon seit Langem mit starker Skepsis beobachtet. Das Unternehmen weist jegliche Beteiligungen von sich und hat sogar noch um die Herausgabe sämtlicher Unterlagen gebeten, um die Lücken im eigenen System schließen zu können. Israelische Spione konnten der NSA zudem Screenshots und Dokumentationen als Beweis liefern, die die Suche nach US Geheimnissen belegt.
Auch das britische Zentrum für Cyber-Sicherheit NCSC (National Cyber Security Centre) hat vor kurzem vor der Anti-Virus-Software Kaspersky gewarnt. Als Begründung wurde angegeben, dass Russland die britische Regierung und Infrastruktur angreifen will. Generell gäbe es offensichtliche Risiken bei ausländischen Software-Herstellern. Gerade dort, wo ein Zugriff des russischen Staates auf Informationen gewährleistet sei, bestünde ein Risiko für die nationale Sicherheit. Daher sollte auf Software von russischen Antivirus-Unternehmen verzichtet werden.
Natürlich weiß mal wieder Niemand genau, ob die ganzen Behauptungen zu 100% belegbar sind, aber man kann davon ausgehen, dass eine gehäufte Anzahl von ähnlichen Anschuldigungen (und das über Jahre!) genug Anlass zur Vorsicht geben sollten…
Im Gegensatz zum namhaften Software-Hersteller aus Russland, ist kaum bis gar nichts negatives über die aufstrebende, rumänische Firma Bitdefender Antivirus zu finden. Frei nach dem Motto: „Nur weil Du weißt, dass Du paranoid bist, heißt es ja noch lange nicht, dass sie NICHT hinter Dir her sind“ – gehen Sie lieber auf Nummer-Sicher und informieren Sie sich über Alternativen.
klenner.at bietet ein attraktives Umstiegsangebot auf Bitdefender Antivirenlösungen. Für mehr Informationen über die spezifischen Vorteile der innovativen Sicherheits-Lösung können Sie uns gerne kontaktieren.
Wir sind empört! „Cyber“-Einbruchsserie im US Finanzsektor nimmt neue Formen an
Zu groß für den 0815 Hacker: Die neue Einbruchsserie im US Finanzsektor, und, wie „die ganz oben“ versuchen Alles zu vertuschen!
Anfang dieser Woche die Meldung: „Cyber-Einbruch“ bei Deloitte – einer der größten Beratungsfirmen, die Daten von Großkonzernen weltweit verwaltet.
Und das kurz, nachdem bereits ein erfolgreicher Angriff auf die größte US-Kreditauskunftsfirma Equifax gemeldet wurde. Ganze 140 Millionen Datensätze von Firmen und Privatpersonen sollen gestohlen worden sein. Die bei Equifax kompromittierten Daten gehen in den Terabyte-Bereich und werden wohl auch Millionen von Bonitätsprofilen aus der EU beinhalten.
Die Börsenaufsicht SEC (Securities and Exchange Commission) wurde zur Durchsetzung von Offenlegungspflichten und Sanktionen gedrängt. Wie praktisch, dass die SEC selbst letzte Woche einen Großeinbruch in ihrer wichtigsten Datenbank zu verzeichnen hatte! Eine Untersuchung im US-Kongress läuft bereits.
Erschreckend ist nicht nur die Tatsache, dass sich die unbekannten Kriminellen über Monate ganz unbemerkt im Netzwerk der Börsenaufsicht herumtreiben konnten, sondern auch, dass die Einbrüche in allen genannten Fällen geheimgehalten wurden. Im Deloitte-Fall wurde der Einbruch über Monate verschwiegen, bis es schließlich ans Tageslicht kam.
Den ganzen Artikel und mit welch ungeheuerlichen Mitteln die Equifax-Führung den Großeinbruch „geregelt hat“ lesen Sie hier: „Cyber“-Einbruchsserie in der US-Hochfinanz.
Was noch erschwerend hinzukommt ist, dass in allen 3 Fällen überdurchschnittlich gut gesicherte Datenspeicher angegriffen wurden. Als ob das nicht schon genug wäre, handelt es sich bei allen Diebstählen um US Finanzdaten- Material der obersten Güteklasse.
Mit gewöhnlichen Hackern hat das Ganze jedenfalls nicht mehr viel zu tun. Der Grund ist, dass das gestohlene Datenmaterial nicht kommerziell verwertbar ist. Außerdem gehen die Kriminellen nach den Einbrüchen über Monate im Netzwerk in Deckung, um nach und nach relevante Daten heraus zu schleußen.
Große Projekte sind dort am Laufen und es macht den Eindruck, als ob es sich um staatliche Cyber-Akteure aus einem oder mehreren (noch nicht bekannten) Drittstaaten handelt.
Wie falsche Chefs und „Fake-Präsidenten“ ganz bequem an Millionen kommen
Überweis‘ doch mal! – Nein? Tja, wenn doch nur jeder Hellseher wäre…
Vor ein paar Tagen wurde uns eine Mail-Konversation eines Kunden weitergeleitet. Ein Mitarbeiter wurde per E-Mail aufgefordert eine Überweisung an den zuständigen Controller der Firma zu tätigen. Was der besagte Mitarbeiter nicht wusste: Diese Email stammte überhaupt nicht vom Vorstand der Firma (was der Sender der Mail allerdings vorgab). Es handelte sich um einen sog. Fake-Präsidenten. Doch zunächst war dies erstmal kaum ersichtlich. Der Sender nannte gewisse Personen des Vorstandes sowie Namen der Geschäftsführung, um glaubhaft zu erscheinen.
Im nachhinein betrachtet, ist die Kenntnis eines Fremden über Unternehmen und Mitarbeiter nicht weit hergeholt. Wir alle haben schließlich eine Firmen-Homepage und sind im Web auch in diversen Social Media Kanälen präsent, oder?! Gar nicht mal so unwahrscheinlich also, dass sich Betrüger der notwendigen Infos bedienen können, um sich Geld oder sonstige Daten zu erschleichen.
Glück im Unglück…
Die zuständigen Kollegen waren auf Urlaub und konnten daher die geforderte Überweisung nicht durchführen. Dies wurde dem Sender aka. „Vostand“ mitgeteilt, worauf dieser mit gebrochenem Deutsch antwortete. So konnte der Mitarbeiter den versuchten Betrug schließlich entlarven. Der sprachliche Fail des Betrügers war somit unseres Kunden Segen. Bei der geforderten Summe hätte es sich „nur“ um 27.180 EUR gehandelt…
Und das ist ist nicht mal ironisch gemeint. Je nach Firma und Ausmaß der laufenden Geschäfte kann es passieren, dass ganz andere Summen ins Nirvana wandern: Im Februar 2017 wurde ein deutsches Unternehmen um satte 1,5 Mio. Euro gebracht. Der Raub wurde erst zwei Tage später überhaupt erst enttarnt. Die ergaunerte Summe war damit natürlich auf immer und ewig verloren. Mehr dazu hier.
Wie kam es dazu?
Gleiche Masche wie bei unseren Kunden: Die Betrüger gaben sich als Geschäftsführung aus und forderten die Buchhalterin auf das Geld per Faxanweisung auf ein Konto in Fernost zu transferieren. Die Begründung: Ein „geheimes Projekt“. Der Betrug flog erst auf, als sie eine weitere Summe überweisen sollte. Diesmal gleich 3,5 Mio. Zum Glück hatte die Mitarbeiterin ausversehen ihren tatsächlichen Chef angemailt…
Man geht davon aus, dass die Betrugsfälle weiter zunehmen werden – auch in Österreich. In welcher Form und mit welchen Versionen des Mailbetrugs allerdings gerechnet werden kann, ist nicht sicher. Sicher ist nur, dass sich die Methoden sofort anpassen, sobald ein bestimmter Bekanntheitsgrad erreicht ist.
Ähnliche Fälle hagelte es in letzter Zeit. Den größten Schaden erlitt der Nürnberger Autozulieferer Leoni, der ganze 40 Mio. an solche Betrüger verlor. Versicherer sind bereits alarmiert und profilieren sich langsam zu sog. „Experten für das Vertrauensschaden-Segment“. Bei der Vertrauensschadenversicherung Euler Hermes in Deutschland beläuft sich die Schadenssumme bereits auf 140 Mio. und die Tendenz ist steigend.
In Zeiten des zunehmenden Webbetrugs steigt auch die Flut an Betrüger-Mails, die täglich in die Postfächer der Unternehmen gelangen. Wer weiß, vielleicht haben auch Sie morgen schon das Vergnügen! Sowas kann man nie wissen…
Im Fall unserer eigenen Kunden ist das bereits Klappe die Zweite, was Überweisungsbetrug per E-Mail angeht. Daher legen wir Ihnen und all unseren Kunden immer wieder Folgendes nahe:
- Kontrollieren Sie, ob es sich beim Absender wirklich um einen Kollegen/ die besagte Person handelt – gerade bei Geldgeschichten sollte man sich nicht einfach so darauf verlassen
- Schauen Sie immer auf die E-Mail Adresse des Absenders: oft ist sie das erste Indiz für einen Betrug
- Achten Sie auf logische Zusammenhänge und Sprache der Mail: Drücken sich bekannte Personen so aus? Klingt Wortwahl etc. vertraut? Existiert das Projekt überhaupt, wofür Geld benötigt wird?
- Ist die gewohnte Signatur am Ende der Mail? (Normalerweise gibt es für firmeninterne E-Mail Adressen eigene Signaturen – kommt eine Mail von außerhalb, sollte dies sofort an der fehlenden Signatur erkennbar sein; Wir bei klenner.at nutzen u.a. auch ein solches Tool, das einigen Fallen entgegenwirken kann)
- und das wichtigste: Besprechen Sie solche wichtigen Angelegenheiten vorher persönlich! Nichts geht über den persönlichen Kontakt. Wenn Sie den besagten Kollegen anrufen, werden Sie sicher schnell merken, ob dieser Ahnung hat wovon Sie reden ;)
Die letzte Instanz ist wie immer: gesunder Menschenverstand. Das heißt: Werden Sie misstrauisch, wenn sie das Gefühl bekommen, dass es derjenige eilig hat mit dem Geld und er Sie mehr oder weniger dazu drängen will die Überweisung jetzt und sofort zu erledigen. Oftmals kann man die Ungeduld förmlich zwischen den Zeilen lesen. Wenn Sie derjenige schon gleich zu Anfang nach dem Kontostand fragt, wäre ich auch erstmal vorsichtig!
Nicht immer können solche Betrugsmaschen auf die ersten Blicke erkannt werden. Also seien Sie sicher, dass Sie zumindest alle möglichen Sicherheitsvorkehrungen getroffen haben, damit so etwas gar nicht erst in Ihren Posteingang kommt. Allerhöchstens darf sich Ihr Spam-Ordner drüber freuen…