Erpressungsversuche: Angriffe mit Trojaner Hakbit

IT Malware Juni 28, 2020 2:07 pm Veröffentlicht von

Ransomware-Angriffe auf deutsche Unternehmen

Experten des kalifornischen IT-Sicherheitsanbieters Proofpoint nehmen vermehrt Angriffe mit Ransomware "Hakbit" auf deutsche Nutzer wahr.

Einzelheiten und Sicherheitstipps fassen wir für Sie zusammen.

Wie läuft ein Angriff mit Hakbit ab?

Bei Hakbit handelt es sich um einen Verschlüsselungstrojaner, der in Kombination mit einem anderen Schädling Daten auf den Rechnern und im Netzwerk der Nutzer verschlüsselt.

Zur Verbreitung nutzen die Cyberkriminellen Spam-Emails mit einer GMX-Adresse, die
angeblich von 1&1 stammen und auf eine Rechnung im Anhang hinweisen. Bei der vermeintlichen Rechnung handelt es sich allerdings um ein Excel-Dokument. (Das sollte den Empfänger auf jeden Fall schon mal misstrauisch stimmen.) Dieses Excel-Dokument ist mit schädlichen Makros präpariert. Lässt man die Makros zu, infiziert sich der Rechner.

Zunächst wird dabei eine Download-Software namens "GuLoader" installiert, die zu einem späteren Zeitpunkt den eigentlichen Trojaner Hakbit nachlädt. Dieser beginnt dann mit der Verschlüsselung der Daten auf dem Rechner bzw. im Netzwerk.

Die Cyberkriminellen weisen in der Spam-Mail darauf hin, dass die "Rechnung" am Computer geöffnet werden soll, da die Inhalte auf dem Smartphone angeblich nicht richtig angezeigt werden können. Das ist natürlich nur ein Vorwand, um den Verschlüsselungstrojaner auf einen Rechner zu bekommen, wo dieser dann auch tatsächlich Schaden anrichten kann.

Wie für Erpressungstrojaner-Angriffe üblich, hinterlassen die Angreifer eine Textdatei auf dem Rechner mit Anweisungen, wie das Lösegeld zum Entschlüsseln der Daten gezahlt werden soll.
Zur Entschlüsselung verlangen die Kriminellen 250 Euro in Bitcoin.

Bei der Hakbit-Kampange wurden viele Nachrichten mit Betreffzeilen wie „Fwd: Steuerrückzahlung“ und „Ihre Rechnung“ versandt. Der Köder ist auf Deutsch verfasst und missbraucht das Logo und Branding von 1&1. Die Nachricht enthält einen Microsoft Excel-Anhang namens 379710.xlsm, der bösartige Makros nutzt.

- ZDNet

Hakbit nimmt Unternehmen ins Visier

Bei den Hakbit-Spam-Emails scheint es sich nicht um eine groß angelegte, flächendeckende Spam-Aktion zu handeln, sondern eher um einigermaßen individualisierte Angriffe: Anstatt technische Schwachstellen auszunutzen, setzen die Angriffe auf menschliche Fehlbarkeit.

Die Cyberkriminellen recherchieren im Internet öffentlich zugängliche Informationen (Unternehmens-Webseiten, Anzeigen, Social Media) über die Emfpänger, um die Angriffe bestmöglich anzupassen. Bei den Empfängern handelt es sich also meist um Mitarbeiter, die in irgendeiner Weise Kundenkontakt haben und zu diesem Zweck auch entsprechend mehr Informationen im Internet über sich veröffentlichen.

Wie steht es um die IT-Sicherheit in Ihrem Unternehmen?

Schützen Sie sich und Ihr Unternehmen

Cyberkriminelle haben schnell herausgefunden, dass die lukrativsten Ziele Unternehmen sind. Besonders kleine und mittelständische Unternehmen sind besonders gern gewählte Ziele, da sie oft nicht über so komplexe und umfangreiche IT-Sicherheitsmaßnahmen verfügen wie Konzerne oder größere Organisationen. Die Lösegeldsummen fallen dabei – im Vergleich zu Angriffen bei großen Unternehmen – auch eher klein aus. Die Kriminellen wollen immerhin sichergehen, dass das Lösegeld auch bezahlt werden kann und dass Unternehmen auch eher dazu geneigt sind, zu zahlen.

Sie können das Risiko eines erfolgreichen Angriffs verringern und Schäden durch Datenverlust vermeiden, wenn Sie folgende Punkte beachten:

IT-Sicherheitsmaßnahmen
Gehen Sie sicher, dass Sie über eine angemessene IT-Sicherheitslösung verfügen. Ohne eine Kombination aus aktueller Antivirussoftware, richtig konfigurierter Firewall sowie Spam-Filter und zuverlässiger Backup-Lösung sollten Sie sich aus ihrem Unternehmensnetzwerk heraus nicht ins Internet bewegen.

Offsite-Backups
Da die Angreifer es gezielt auf die Manipulation bzw. Löschung bestehender Backups abgesehen haben, ist es ratsam, über eine Offsite-Backup-Lösung nachzudenken. Wenn sich das Speichermedium mit den Backups nicht im Netzwerk befindet, kann es auch nicht kompromittiert werden. Am besten sprechen Sie mit Ihren IT-Fachkräften oder lassen Sie sich diesbezüglich von einem IT-Dienstleister beraten.

Gefahren erkennen
Wie die Angriffe mit Hakbit zeigen, ist es ebenfalls besonders wichtig, potentiell gefährliche Emails zu erkennen. Das ist nicht immer leicht und auch in der täglichen Informationsflut können schnell mal Fehler passieren.

Mit Schulungen können Sie Ihre Mitarbeiter für Cybergefahren und Social Engineering sensibilisieren und richtige Verhaltensweisen trainieren.

Ermutigen Sie Ihre Mitarbeiter außerdem, Fehler einzugestehen. Je früher ein Angriff bekannt ist, desto schneller kann gehandelt werden. Und je genauer sich der Angriff nachverfolgen lässt, desto besser können Sie Maßnahmen ergreifen und sich in Zukunft schützen.

Hilfe von Kastl & Rieter

  • Sie sind von einem Ransomware-Angriff betroffen?
    Nehmen Sie unsere Soforthilfe in Anspruch. Wir stehen Ihnen schnellstmöglich zur Seite.
  • Sie möchten Ihre Unternehmens-IT rundum sichern?
    Rufen Sie uns an ( 0221 / 630 6151 60 ) oder schreiben Sie uns via Kontaktformular und vereinbaren Sie einen Beratungstermin!
  • Sie wünschen sich Schulungen und Workshops zum Thema IT-Sicherheit?
    Wir sind für Sie da. Nehmen Sie ganz einfach Kontakt zu uns auf!
  • Ihnen fehlt noch der richtige Dienstleister, der Ihre Unternehmens-IT betreut?
    Unsere Kunden und Partner helfen Ihnen bei der Entscheidung

Wir freuen uns auf Sie!

Ihr Kastl & Rieter IT-Service