Neue Ransomware-Kampagne nimmt US-Regierungsvertreter ins Visier

Sie erhalten E-Mails mit schädlichen Links. Die E-Mails werben für günstige Flugreisen. Der Link wiederum führt zu einer manipulierten Word-Datei. Sie enthält ein Makro, das die eigentliche Ransomware installiert. Die Kampagne läuft schon seit Anfang August.

Forscher von Proofpoint warnen vor einer neuen Ransomware-Kampagne, die sich gegen Mitarbeiter der US-Regierung richtet. Sie sollen mit E-Mails mit eingebetteten schädlichen Links dazu verleitet werden, eine neue Variante der Ransomware CryptFile2 zu installieren. Der Schadcode selbst steckt jedoch in einer speziell präparierten Word-Datei.

Die E-Mails sind schon seit Anfang des Monats im Umlauf. Sie locken mit günstigen Preisen für Flugreisen innerhalb der USA und auch nach Kanada und Asien. Nutzer, die auf den Link klicken, werden zum Download eines Word-Dokuments weitergeleitet, das wiederum per Social Engineering versucht, ein Opfer zum Ausführen der enthaltenen Makros zu verleiten.

Das Word-Dokument versucht Nutzer per Social Engineering zum Ausführen eines Makros zu verleiten (Bild: Proofpoint).Das Word-Dokument versucht Nutzer per Social Engineering zum Ausführen eines Makros zu verleiten (Bild: Proofpoint).

Word blockiert jedoch ab Werk die Ausführung von Makros und auch die Bearbeitung von Dokumenten, die aus dem Internet heruntergeladen wurden. Das von den Hackern verfasste Dokument weist auch auf diesen Umstand hin, benutzt ihn aber zudem als Grund dafür, dass die eigentlichen Inhalte nicht sichtbar sind. „Bitte aktivieren Sie die Bearbeitung und Inhalte, um das Dokument zu betrachten“, schreiben sie.

Nutzer, die dieser Aufforderung nachkommen, führen das Makro aus, das dann die eigentliche Ransomware herunterlädt. Erst nach einer Lösegeldzahlung in Bitcoin sollen die zuvor verschlüsselten Dateien wieder freigegeben werden. Die Hintermänner der Kampagne betonen, dass es keine andere Möglichkeit gibt, die gesperrten Dateien wieder zugänglich zu machen. Außerdem verdoppele sich die Lösegeldforderung, wenn nicht zeitnah bezahlt werde.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Frühere Varianten von CryptFile2 wurden Proofpoint zufolge über die Exploit-Kits Nuclear und Neutrino verteilt. Der Einsatz von E-Mails mit eingebetteten URLs sei indes neu. Das erhöhe die Wahrscheinlichkeit, dass die E-Mail Spam- und Malwarefilter passiere, so die Forscher weiter. Die Kampagne erhöhe zudem das Risiko für den öffentlichen Sektor, der möglicherweise schlechter ausgestattet sei, um derartige Bedrohungen zu erkennen und abzuwehren.

Einer aktuellen Studie von Malwarebytes zufolge waren im vergangenen Jahr fast 40 Prozent aller Firmen in den USA, Kanada, Großbritannien und Deutschland von einer Lösegeld fordernden Schadsoftware betroffen. 34 Prozent der Umfrageteilnehmer verloren Umsätze durch Ransomware. 20 Prozent mussten sogar vorübergehend den Betrieb einstellen. Mehr als 40 Prozent der Opfer zahlten das Lösegeld. Die Studie zeigt aber auch, dass das Bezahlen der geforderten Summe nicht garantiert, dass das Opfer tatsächlich den Schlüssel zu seinen vom Schadprogramm verschlüsselten Dateien erhält.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cloud by HPE, Cybercrime, E-Mail, Malware, Proofpoint, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Ransomware-Kampagne nimmt US-Regierungsvertreter ins Visier

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *