Momentan untersucht das InfoGuard CSIRT zahlreiche Ransomware-Angriffe auf Schweizer Unternehmen. Dabei stellten wir bei vielen Fällen dieselbe initiale Infektion fest – ein Phishing-Mail mit dem bekannten Pakettrick. Unser CSIRT informiert Sie aus diesem Grund in diesem Blogbeitrag über die aktuellen Erkenntnisse.
Das InfoGuard CSIRT untersuchte in den letzten Wochen mehrere Betrugsfälle. Diese basieren alle auf einem initialen Phishing-Mail mit welchem eine Paket- oder Briefzustellung zudem per Telefonanruf angekündigt wird – nachfolgend eine Abbildung des realen Phishing-Mails:
Bereits im Dezember hatte die Kantonspolizei Zürich auf cybercrimepolice.ch über einen E-Banking Trojaner informiert, welcher vorab per Telefon angekündigt wird. Dabei ruft eine Computerstimme mit Ostblockakzent an und fordert meist den Gesprächspartner auf, ein E-Mail zu öffnen und eine Software zu installieren. In dieser muss dann eine Schaltfläche betätigt werden, um die Zustellung des Pakets oder des Briefs zu gewährleisten. Im Hintergrund wird aber ein E-Banking Trojaner heruntergeladen, mit welchem Finanztransaktionen des Unternehmens ausspioniert werden können:
Erkenntnisse aus den aktuellen Ransomware-Angriffen
Was wir nun vermehrt bei Angriffen auf Unternehmen feststellen, die Angreifer sprechen auch perfekt Deutsch. Zudem belassen sie es nicht mehr nur bei der Installation des Trojaners, sondern entwenden im grossen Stil Daten, verschlüsseln anschliessend die Daten und Systeme des betroffenen Unternehmens und fordern dann ein entsprechendes Lösegeld (Ransomware).
Bei den von unserem CSIRT untersuchten Fällen betrug die Zeitspanne zwischen dem ersten E-Mail und der finalen Verschlüsselung der Daten 2-3 Wochen.
Unser CSIRT empfiehlt!
Wir empfehlen Ihnen daher dringend, dass Sie Ihre Mitarbeitenden vor solchen Phishing-Mails warnen. Nutzen Sie dazu auch gerne unser kostenloses Phishing-Poster mit den wichtigsten Merkmalen und Tipps zur Erkennung von solchen Betrugsversuchen!
Fragen Sie Ihre Mitarbeitenden konkret, ob ihnen der Screenshot bekannt vorkommt oder ob sie komische Telefone zwecks Paketzustellung erhalten haben.
Weiter empfehlen wir Ihnen die Systeme nach folgenden Indikatoren zu untersuchen:
- Wurde ein lokaler Benutzer erstellt (in der Form von c:\Users\Xrq….)?
- Wurde eine Software nachinstalliert (JDK, Ngrok, RDPWrapper)?
- Der initiale Dropper taucht oft in der Form von c:\Users\<username>\Downloads\sendung_Nxxxxx_ddmmyyyy.com auf (siehe Screenshot oben)
- Prüfen Sie Ihre Firewall, resp. Proxy Logs auf folgende Zugriffe:
- bin.equinox.io (Download ngrok)
- Zugriffe auf Webseiten im folgenden Format: <domain>.com/.<wort>/api.php
- eventuell Zugriffe auf docs.google.com (kann sehr viele False Positives erzeugen)
Falls Sie einen oder mehrere Indikatoren feststellen, empfehlen wir Ihnen:
- Die betroffenen Systeme zu isolieren und vom Internet abzutrennen (falls möglich, die ganze Firma vom Netz trennen).
- Einen Forensik Spezialisten aufzubieten, welcher die Situation bei Ihnen vor Ort kompetent untersuchen kann.
InfoGuard hilft Ihnen – rund um die Uhr
Das InfoGuard CSIRT unterstützt Sie bei der Suche nach Spuren eines Cyberangriffs in Ihrer Infrastruktur. Mit unserem Compromise Assessment decken wir Breaches in Ihrer gesamten Umgebung auf – und nicht nur jene der geschilderten Ransomware-Angriffen.
Bei einem solchen Cyberangriff ist es entscheidend schnell und professionell zu handeln. Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier:
![[Video] Ein Cyber-Krimi in 48 Stunden](https://www.infoguard.ch/hubfs/infoguard-blog-incident-response-video-2.jpg)
