Support: +49 (0)209 38642-22        Supportfall melden

Neue Ransomware im Umlauf

Die unter dem Namen "Hakbit" verbreitete Ransomware (vom englischen Wort "ransom" für Lösegeld) ist nun auch im deutschsprachigen Raum angekommen. Besonders Unternehmen in Deutschland, Österreich und der Schweiz vermelden vermehrt Angriffe, bei denen Hakbit zum Einsatz kommt. Dabei sind hauptsächlich Mitarbeiter in mittleren Positionen das Ziel, die Kundenkontakte pflegen, wodurch Ihre Kontaktdaten leichter aufzuspüren sind. Bei den Unternehmen handelt es sich hauptsächlich um Unternehmen aus den Bereichen Technologie, Fertigung, Versicherung und Informationstechnologie. Ebenfalls im Visier der Angreifer stehen Betriebe aus den Bereichen Pharmazie, Geschäftsdienstleistungen, Einzelhandel, Gesundheitswesen und Recht.

Eingeschleust wird die Schadsoftware wie so oft durch E-Mails. Aktuell erhalten die Opfer Rechnungen von 1&1, an die eine Excel-Tabelle angehängt ist. Öffnet der Empfänger diese Tabelle, werden darin sogenannte Makros - also kleine Skriptblöcke - ausgeführt. Diese dienen im Normalfall der Ausführung wiederkehrender Aufgaben und sollen die Arbeit mit Excel vereinfachen. Bei einer Rasomware-Attacke werden sie genutzt, um weiteren Schadcode nachzuladen, wodurch die eigentliche "Infektion" des Systems erst eingeleitet wird. Im Fall von Hakbit ist es die sogenannte Schadsoftware GuLoader, die im Anschluss Hakbit nachlädt.

Die Ransomware selber beginnt im Anschluss damit, die Dateien auf dem Rechner auf Basis von AES-256 zu verschlüsseln. Möchte der Anwender dann eine verschlüsselte Datei öffnen, wird dies verweigert und er bekommt eine E-Mail mit Lösegeldforderungen. Sie belaufen sich im Fall von Hakbit auf $ 300 bzw. 250 €, die in Form von Bitcoins bezahlt werden sollen. Auch wenn man auf die Forderung eingeht, ist die Wahrscheinlichkeit sehr gering, dass die Angreifer das System des Opfers wieder freigeben, weshalb Experten davon abraten, das Lösegeld zu bezahlen. Aufgrund der aktuellen globalen Situation wurde die Achtsamkeit beim Umgang mit E-Mails mit dem Thema Covid-19 bei vielen Nutzern erhöht. Bei Hakbit wird auf diese Masche vollständig verzichtet. Zudem werden die manipulierten E-Mails von GMX Konten versandt, was die Glaubwürdigkeit erhöht, da GMX ein Unternehmen der 1&1 Gruppe ist. Wie bei allen E-Mails gilt also auch hier der Grundsatz, dass man sich nur mit größter Achtsamkeit vor Attacken aus dem Internet schützen kann. Im aktuellen Fall von Hakbit können Empfänger, die nicht Kunde bei 1&1 sind, grundsätzlich davon ausgehen, dass es sich um eine fingierte E-Mail handelt.

Kunden von 1&1 können sich über die Unternehmensseite einloggen und Ihre Rechnungen kontrollieren, statt sie Datei im Anhang zu öffnen. Diese Vorgehensweise ist im Übrigen der beste Weg, auf alle zweifelhaften E-Mails zu reagieren. Auch ein Anruf bei dem vermeintlichen Absender kann Sicherheit schaffen. Ist es aber doch zu einer Infektion des Rechners gekommen, gibt es im Fall von Hakbit einen Weg, die verschlüsselten Dateien wieder freizugeben. Aber auch hier sollte man mit größter Vorsicht bei der Suche nach einer Entschlüsselungssoftware vorgehen und sicherstellen, dass es sich um eine seriöse Quelle handelt. Als IT-Spezialisten mit jahrzehntelanger Erfahrung können wir Ihnen mit Rat und Tat zur Seite stehen, auch wenn es um prophylaktische Sicherheits- und Backuplösungen geht, um den Schaden bei einem Hackerangriff zu minimieren.