Seit Jahren warnen Polizei und Medien vor dem Umlauf von „Fake-Bewerbungen“ mit Malwareüberraschung.
Was genau Sie beachten sollten und welche Vorkehrungen Unternehmen treffen sollten, um einen Fremdzugriff zu vermeiden erklären wir Ihnen jetzt.
Ransomware und Spyware, was ist darunter zu verstehen?
Häufig erfolgen sogenannte Cyberangriffe durch Ransomware, welche eine Unterart von Trojanern darstellt. Als Ransomware (z.B. „Goldeneye“, „Grandcrab“) bezeichnet man Schadsoftware, welche den Zugriff auf Daten und Systeme durch ein Verschlüsselungsverfahren einschränkt oder verhindert. Im Zuge dessen fordert der Angreifer für die Freigabe bzw. Entschlüsselung meist ein Lösegeld (engl. ransom). Geht das Opfer auf die Forderung des Angreifers ein, findet ein direkter Geldtransfer via anonymer Zahlungsmittel, wie Bitcoin oder anonymer Guthaben- und Bankkarten, zwischen beiden Parteien statt.
Mehrere Attacken durch Ransomware in vermeintlichen Bewerbungsschreiben
2016 gab es in Sachsen mehrere Berichte über den Umlauf von „Fake-Bewerbungen“, welche die Malware „Goldeneye“ in sich trugen. Unternehmen erhielten dabei augenscheinlich seriöse Bewerbermails mit Anhängen in Form von einer Zip-Datei oder EXE-Datei. Öffnete man die Anhänge, wurde die Funktion der Ransomware aktiv und verschlüsselte sämtliche Funktionen auf dem Rechner und ggf. anderer Rechner, welche mit dem Rechnernetz verbunden waren. Im Nachgang erhielt das vom Angriff betroffene Unternehmen ein Erpresserschreiben, worin die Aufhebung der Verschlüsselung unter Leistung eines Erpressungsgeldes an den Angreifer angeboten wurde.
Ein ähnliches Verfahren erfolgte durch die Malware „Grandcrab“. Diese verbreitete sich 2018 in Deutschland. Auch wurden weitere Angriffe Anfang 2019 von der Presse und Polizei gemeldet, die bis heute nicht abbricht. So finden sich seit Mitte des Jahres weiterhin Meldungen über Malwareangriffe durch „Fake-Bewerbungen“.
Die Angreifer haben es bei dem Einsatz beider Malwareformen auf die Infizierung von Betriebssystemen von Microsoft abgesehen. Die Taktik der Angreifer blieb dabei meist dieselbe.
Anders agiert lediglich die derzeit grassierende Spyware „AZORult“, welche Zugangsdaten abfasst. Ebenso änderte sich das Auftreten der „Fake-Bewerbungen“. Diese dürften immer ausgefeilter und von richtigen Bewerbungen kaum zu unterscheiden sein. So wurde mitunter gemeldet, dass „Fake-Bewerbungen“ im Umlauf seien, welche vermeintlich von der Arbeitsagentur stammen und sogar eine konkrete Referenznummer des angeblichen Bewerbers enthielten. Besonders perfide ist die derzeit sich ausbreitende Attacke durch den Erpressungstrojaner „GermanWiper“.
Das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) warnte kürzlich per Twitter vor „GermanWiper“, welches sich meist durch Bewerbungsunterlagen einer vermeintlichen „Lena Kretschmer“ verbreitet. Die „Fake-Bewerbung“ sei aber auch unter anderen Namen im Umlauf. Im Gegensatz zu der bisherigen Ransomware, welche sich im Umlauf befindet, werden bei „GermanWiper“ die Dateien nicht verschlüsselt, sondern mit Nullen überschrieben. Weiterhin werden die Dateiendungen geändert, bevor eine Lösegeldforderung gesendet wird. Eine Zahlung des Lösegeldes hätte für den Betroffenen ohnehin keinen Nutzen, da eine Entschlüsselung aufgrund der Überschreibung der Daten nicht möglich sein dürfte. Die Wiederherstellung der Daten kann lediglich durch eigene Backupmaßnahmen, nach der Säuberung des PCs von der Schadsoftware, erzielt werden.
Sicherheit durch Virenscanner? – Warum der Virenscanner die Malware nicht erkennt
Medialen Berichten zufolge würden weniger als die Hälfte der gängigen Virenschutzprogramme die Schadsoftware in den Bewerbungen erkennen. Grund hierfür sei mitunter, dass die Programme noch nicht auf den neuen Virus eingestellt wurden. Weiterhin können die Antivirenprogramme die Schadsoftware nicht erkennen, da die vermeintlichen Bewerbungsunterlagen unter anderem in einer ZIP-Datei mit einem Passwort gesperrt sind. Dies gestattet dem Virenprogramm nicht, die darin befindlichen Inhalte zu prüfen. Öffnet das Opfer die ZIP-Datei, mit dem in der „Fake-Bewerbungsmail“ ausgewiesenen Passwort, ist die Meldung durch die Antivirensoftware nutzlos, da die Schadsoftware bereits auf den PC geladen wird.
Wie kann ein Angriff abgewehrt bzw. vermieden werden?
Folgende Punkte sollten Sie unter anderem berücksichtigen, um nicht Opfer eines Cyberangriffs durch „Fake-Bewerbungen“ zu werden:
- Keine Bewerbungen öffnen mit Anhängen in DOC-, ZIP-, EXE- oder RAR-Format. Bitten Sie die Bewerber darum, Ihnen die Dateien per PDF zuzusenden. Alternativ kann die Datei per „Sandbox“-Verfahren geöffnet werden. Bei einer „Sandbox“ handelt es sich um ein vom System abgeschotteten Bereich, in dem sich eine Software geschützt ausführen lässt. Damit kann das System vor Veränderungen geschützt werden, da nur der abgeschottete Bereich infiziert wird.
- Führen Sie regelmäßige Back-Ups durch, um bei einem Befall den Urzustand wiederherstellen zu können.
- Informieren und sensibilisieren Sie Ihre Mitarbeiter, beispielsweise durch Schulungen.
- Lassen Sie keine Makros bei dem Öffnen von Dokumenten zu, sofern diese nicht digital signiert sind, da sich durch Makros Schadsoftware einschleusen kann.
- Segmentieren Sie Netzwerke, um den Befall so gering wie möglich zu halten.
- Halten Sie das Virenschutzprogramm immer auf den neusten Stand.
Was sollte unternommen werden, wenn die Datei bereits geöffnet wurde?
Sollten Sie eine infizierte Datei bereits geöffnet haben, dürfte auch mit größter Sorgfalt ein Befall nicht ausgeschlossen werden können. In diesem Fall sollten Sie nicht vorschnell in Panik geraten. Atmen Sie erst einmal durch und beherzigen folgende Punkte:
- Bezahlen Sie unter keinen Umständen die Lösegeldsumme, auch wenn Sie damit die Daten gegebenenfalls wieder entschlüsselt bekommen sollten und eine Wiederherstellung der Daten mehr kosten würde als die Lösegeldsumme. Die Zahlung dürfte dieses Erpressungssystem nur fördern und erhöht womöglich das Angriffsrisiko.
- Trennen Sie das infizierte System umgehend vom Netz, durch ziehen des Netzwerkkabels vom Computer und Abschalten etwaiger WLAN-Adapter. Um die befallenen Systeme zu identifizieren helfen sogenannte Logdaten. Mit deren Hilfe können beispielsweise Zugriffe auf Netzwerke erkannt werden. Ebenfalls können Metadaten der verschlüsselten Dateien – z. B. welcher Nutzeraccount die Datei erzeugt haben könnte – dafür genutzt werden, um zu ermitteln, welches System infiziert wurde.
- Erstatten Sie sofort Anzeige bei der Polizei.
- Holen Sie sich Rat ein von einem Experten.
- Holen Sie sich ggf. auch externe Unterstützung von IT-Sicherheitsdienstleister ein, sofern Sie kein eigenes IT-Security Team oder Computer Emergency Response Team haben.