infoguard-blog-ransomware-pakettrick

[InfoGuard CSIRT-Warnung] Aktuelle Ransomware-Angriffe mit Pakettrick

Momentan untersucht das InfoGuard CSIRT zahlreiche Ransomware-Angriffe auf Schweizer Unternehmen. Dabei stellten wir bei vielen Fällen dieselbe initiale Infektion fest – ein Phishing-Mail mit dem bekannten Pakettrick. Unser CSIRT informiert Sie aus diesem Grund in diesem Blogbeitrag über die aktuellen Erkenntnisse.


Das InfoGuard CSIRT untersuchte in den letzten Wochen mehrere Betrugsfälle. Diese basieren alle auf einem initialen Phishing-Mail mit welchem eine Paket- oder Briefzustellung zudem per Telefonanruf angekündigt wird – nachfolgend eine Abbildung des realen Phishing-Mails:

ransomware-vorfaelle-phishing-mail

Bereits im Dezember hatte die Kantonspolizei Zürich auf cybercrimepolice.ch über einen E-Banking Trojaner informiert, welcher vorab per Telefon angekündigt wird. Dabei ruft eine Computerstimme mit Ostblockakzent an und fordert meist den Gesprächspartner auf, ein E-Mail zu öffnen und eine Software zu installieren. In dieser muss dann eine Schaltfläche betätigt werden, um die Zustellung des Pakets oder des Briefs zu gewährleisten. Im Hintergrund wird aber ein E-Banking Trojaner heruntergeladen, mit welchem Finanztransaktionen des Unternehmens ausspioniert werden können:

 

ransomware-vorfaelle-trojaner-installation

Erkenntnisse aus den aktuellen Ransomware-Angriffen

Was wir nun vermehrt bei Angriffen auf Unternehmen feststellen, die Angreifer sprechen auch perfekt Deutsch. Zudem belassen sie es nicht mehr nur bei der Installation des Trojaners, sondern entwenden im grossen Stil Daten, verschlüsseln anschliessend die Daten und Systeme des betroffenen Unternehmens und fordern dann ein entsprechendes Lösegeld (Ransomware).

Bei den von unserem CSIRT untersuchten Fällen betrug die Zeitspanne zwischen dem ersten E-Mail und der finalen Verschlüsselung der Daten 2-3 Wochen.

Unser CSIRT empfiehlt!

Wir empfehlen Ihnen daher dringend, dass Sie Ihre Mitarbeitenden vor solchen Phishing-Mails warnen. Nutzen Sie dazu auch gerne unser kostenloses Phishing-Poster mit den wichtigsten Merkmalen und Tipps zur Erkennung von solchen Betrugsversuchen!

Download Phishing-Poster

Fragen Sie Ihre Mitarbeitenden konkret, ob ihnen der Screenshot bekannt vorkommt oder ob sie komische Telefone zwecks Paketzustellung erhalten haben.

 

Weiter empfehlen wir Ihnen die Systeme nach folgenden Indikatoren zu untersuchen:

  • Wurde ein lokaler Benutzer erstellt (in der Form von c:\Users\Xrq….)?
  • Wurde eine Software nachinstalliert (JDK, Ngrok, RDPWrapper)?
  • Der initiale Dropper taucht oft in der Form von c:\Users\<username>\Downloads\sendung_Nxxxxx_ddmmyyyy.com auf (siehe Screenshot oben)
  • Prüfen Sie Ihre Firewall, resp. Proxy Logs auf folgende Zugriffe:
    • bin.equinox.io (Download ngrok)
    • Zugriffe auf Webseiten im folgenden Format: <domain>.com/.<wort>/api.php
    • eventuell Zugriffe auf docs.google.com (kann sehr viele False Positives erzeugen)

Falls Sie einen oder mehrere Indikatoren feststellen, empfehlen wir Ihnen:

  1. Die betroffenen Systeme zu isolieren und vom Internet abzutrennen (falls möglich, die ganze Firma vom Netz trennen).
  2. Einen Forensik Spezialisten aufzubieten, welcher die Situation bei Ihnen vor Ort kompetent untersuchen kann.

InfoGuard hilft Ihnen – rund um die Uhr

Das InfoGuard CSIRT unterstützt Sie bei der Suche nach Spuren eines Cyberangriffs in Ihrer Infrastruktur. Mit unserem Compromise Assessment decken wir Breaches in Ihrer gesamten Umgebung auf – und nicht nur jene der geschilderten Ransomware-Angriffen.

Kontaktieren Sie uns!

 

Bei einem solchen Cyberangriff ist es entscheidend schnell und professionell zu handeln. Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier:

Incident Response Retainer

<< >>

Breach Detection , Cyberrisiken

Stefan Rothenbühler
Über den Autor / Stefan Rothenbühler

InfoGuard AG - Stefan Rothenbühler, Senior Cyber Security Analyst

Weitere Artikel von Stefan Rothenbühler


Ähnliche Artikel
[Video] Ein Cyber-Krimi in 48 Stunden
[Video] Ein Cyber-Krimi in 48 Stunden

«Willkommen. Wir sind es, nochmals... Ihre Dateien sind verschlüsselt und derzeit nicht verfügbar. Sie können [...]
[Video] InfoGuard Incident Response − ein realer Ransomware-Angriff auf einen Schweizer Kunden wird vorgestellt
[Video] InfoGuard Incident Response − ein realer Ransomware-Angriff auf einen Schweizer Kunden wird vorgestellt

Nephilim, Ryuk, Trickbot, Emotet und seit neustem Conti fordern die Cybersicherheit heraus. Hohe [...]
[Video] Incident Response – die 5 häufigsten Fehler
[Video] Incident Response – die 5 häufigsten Fehler

Viele Unternehmen sind noch immer der Meinung, dass hohe Sicherheitsmauern ausreichen, um Angreifer [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2