Personalabteilungen in Unternehmen sind zur Vorsicht ermahnt: Derzeit verbreitet sich die Sodinokibi-Ransomware durch gef\u00e4lschte Bewerbungen. Die Sodinokibi-Ransomware ist auch unter den Namen Sodin oder REvil bekannt. Sie \u00e4hnelt der Ransomware GandCrab und etablierte sich binnen k\u00fcrzester Zeit als f\u00fcnf h\u00e4ufigste Ransomware-Familie.<\/p>\n
Cyberkriminelle greifen gezielt Personalabteilungen an: Seit dem 16. Juli 2019 versenden Angreifer E-Mails, die angeblich eine Bewerbung enthalten. Als Namen sind neben Sandra Schneider bereits Martina Peters oder Sabine Lerche im Umlauf. Es ist anzunehmen, dass sich die Cyberkriminellen nach und nach neue Namen \u00fcberlegen, um den Erfolg der Angriffe mit der Sodinokibi-Ransomware hochzuhalten.<\/p>\n
In der E-Mail fordern die Erpresser einen Betrag von 0,16 Bitcoin \u2013 das sind umgerechnet etwa 1.180 \u20ac (Stand: September 2019). Zahlt das Opfer nicht binnen einer Woche, so verdoppelt sich dieser Betrag.<\/p>\n
Die erst seit kurzem aktive Sodinokibi-Ransomware arbeitet offenbar mit derselben Infrastruktur, die die Macher des Verschl\u00fcsselungstrojaners GandCrab nutzen. Diese m\u00f6chten sich nun, nachdem sie rund 150 Millionen US-Dollar mit GandCrab eingenommen haben, in den Ruhestand verabschieden. Hinweise auf eine Verbindung zwischen den beiden Verschl\u00fcsselungstrojanern hat der Security-Blogger Brian Krebs in einem Blogbeitrag<\/a> dargelegt. Darin berichtet Krebs unter anderem, dass ein Cyberkriminelle Anfang Mai in einschl\u00e4gigen Untergrundforen weitere Kriminelle f\u00fcr ein neues Ransomware-Projekt rekrutieren wolle. Auch G DATA formulierte \u00c4hnlichkeiten beider Verschl\u00fcsselungstrojaner in einem Blogbeitrag<\/a>: \u201eDie Cyberkriminellen verwenden derzeit die gleiche Infrastruktur wie die Macher hinter dem Verschl\u00fcsselungstrojaner GandCrab\u201c, hei\u00dft es.<\/p>\n Die Sodinokibi-Ransomware aka REvil aka Sodin wurde dar\u00fcber hinaus \u00fcber gef\u00e4lschte Mails des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) verteilt. In einer kurzen Sicherheitswarnung erkl\u00e4rt sich das BSI: E-Mails von der Adresse meldung@bsi-bund.org und dem Betreff \u201eWarnmeldung kompromittierter Benutzerdaten \u2013 Bundesamt f\u00fcr Sicherheit in der Informationstechnik\u201c seien Spam-Mails mit dem Trojaner an Bord. Es werde ein \u201eDatenmissbrauch\u201c vorget\u00e4uscht und auf den Anhang verwiesen. Im anh\u00e4ngenden Zip-Archiv befindet sich ein Downloader f\u00fcr die Sodinokibi-Ransomware.<\/p>\n Das Schweizerische GovCert.ch (Computer Security Incident Response Teams der Schweizer Regierung) sowie Melani (Melde- und Analysestelle Informationssicherung des Bundes) warnen zudem davor, dass die Sodinokibi-Ransomware auch als \u201eFax-Anhang\u201c verschickt wird. Per E-Mail wird von den Cyberkriminellen ein Fax im Anhang angek\u00fcndigt. GovCert gibt den Betreff dieser E-Mail auf Twitter<\/a> mit \u201eSie haben ein Fax, Absender HelloFax\u201c wieder.<\/p>\n W\u00e4hrend die Angst vor GandCrab sinken kann, wollen sich doch die Macher in den vorzeitigen Ruhestand zur\u00fcckziehen, gibt es noch gen\u00fcgend andere Ransomware-Varianten, vor denen man sich in Acht nehmen sollte. Neben der Sodinokibi-Ransomware w\u00e4re dies allen voran Emotet; ein Verschl\u00fcsselungstrojaner, vor dem wir in diesem Jahr ebenfalls gewarnt haben<\/a>.<\/p>\n Im Sommer wurde es ruhiger um Emotet, jetzt scheinen die Macher aus der Sommerpause zur\u00fcckgekehrt zu sein. Erst k\u00fcrzlich gab das BSI eine Meldung mit dem Titel \u201eZunahme von erfolgreichen Cyber-Angriffen mit Emotet\u201c heraus. Nicht mal ausgezeichnet informierte Unternehmen konnten sich sch\u00fctzen: So wurde auch die Heise Medien GmbH & Co. KG Opfer von Emotet<\/a>.<\/p>\n Emotet und die Sodinokibi-Ransomware verteilen sich unterschiedlich. Die Gang hinter Emotet nutzt vorrangig das sogenannte Dynamit-Phishing. Hei\u00dft: Der Trojaner verbreitet sich zwar automatisch, jedoch angepasst an seine \u201eZielumgebung\u201c, beispielsweise ein bestimmtes Unternehmen. Die Sodinokibi-Ransomware hingegen nutzt jeden Angriff, der m\u00f6glich ist: Wurden zuerst Sicherheitsl\u00fccken in Server-Software ausgenutzt, phisht Sodin mittlerweile auch \u00fcber gro\u00df angelegte Spam-Kampagnen, etwa per Mailvertising.<\/p>\n <\/p>\n Lassen Sie Vorsicht in Ihrer E-Mail-Kommunikation walten! Besprechen Sie dies unbedingt mit Ihrer Personalabteilung, denn gerade bei eingehenden Bewerbungs-E-Mails gilt es, genauer hinzuschauen. Es ist wichtig, das eigene Personal entsprechend zu schulen \u2013 oder durch einen starken Partner schulen zu lassen. Werfen Sie daf\u00fcr gerne einen Blick auf unsere Website \u00fcber Awareness-Schulungen<\/a>.<\/p>\n Ansonsten gilt f\u00fcr die Sodinokibi-Ransomware, was wir Ihnen bereits zu eFail mit auf den Weg gegeben haben, nachzulesen in unserem Blogbeitrag \u201eSichere E-Mail-Kommunikation: Umgang mit eFail<\/a>\u201c:<\/p>\n Haben Sie Fragen zu Ransomware im Allgemeinen oder zur Sodinokibi-Ransomware im Besonderen? Nutzen Sie daf\u00fcr gerne unsere Kommentar-Funktion oder nehmen Sie Kontakt<\/a> zu unseren Experten auf.<\/p>\nAktuelle Ransomware auf dem Vormarsch<\/h3>\n
Sodinokibi: Vorsicht in der Mail-Kommunikation<\/h2>\n
\n
\nInstallieren Sie eine gute Anti-Viren-Software und halten Sie diese stets aktuell.<\/li>\n