Sodinokibi: Neue Ransomware im Umlauf
August 4, 2019 2:36 pmDie Ransomware Sodinokibi versteckt sich in vermeintlichen Bewerbungen
Derzeit ist eine neue Welle Spam-Emails im Umlauf. Hinter gefälschten Bewerbungen versteckt sich der Erpressungstrojaner “Sodinokibi”, der Ihre Daten verschlüsselt und Lösgeld fordert.
Höchste Zeit, sich wieder einmal Gedanken über die Cybersicherheit im eigenen Unternehmen zu machen.
Ransomware wird so schnell nicht verschwinden
Wenn es um Cyberattacken geht, ist das Verteilen von Erpressungssoftware über Emails noch immer die beliebteste Angriffsmethode. Immerhin sind Cyberkriminelle damit auch ziemlich erfolgreich. Die Art und Weise, wie die Schädlinge ihren Weg zum potentiellen Opfer finden, variiert dabei: Empfänger können beispielsweise direkt persönlich adressiert und damit in die Falle gelockt werden. Andere Schädlinge reagieren sogar auf Inhalte der Email-Postfächer und antworten eigenständig auf bestehende Konversationen, um sich zu verbreiten. Dann gibt es natürlich auch die großangelegte Spam-Mail-Aktion, wie sie auch bei der Verbreitung von Sodinokibi durchgeführt wird. Mit solchen Spam-Aktionen werden initial mehr Empfänger erreicht, allerdings sind sie meist auch leichter zu identifizieren.
Vorsicht bei Bewerbungsmails
Bewerbungen gehören bei Hackern – neben Rechnungen – zu den Favoriten der zu manipulierenden Dokumente. Sie kommen im Unternehmensalltag häufig vor und der Absender ist in der Regel nicht persönlich bekannt. Auch gehen solchen Emails meist keine anderen Konversationen voraus, in denen man Dokumente angefordert haben könnte. Es besteht also für viele Nutzer nur wenig Grund, misstrauisch zu sein.
Trotzdem sollten Sie sich die Emails genauer anschauen.
Wie erkenne ich Emails mit Sobinokibi im Schlepptau?
Der Schädling ist noch recht neu. In Deutschland treibt er vor allem seit Mitte Juli sein Unwesen. Zuvor versuchten die Cyberkriminellen, Sobinokibi (auch als REvil bekannt) über Emails mit Warnungen über angeblichen Datenmissbrauch zu verteilen. Die Adresszeile sollte dabei das BSI als Absender vortäuschen.
Mittlerweile ist der Erpressungstrojaner in gefälschten Bewerbungsmails unterwegs.
Die Namen der vermeintlichen Bewerberinnen lauten dabei “Sandra Schneider“, „Sabine Lerche“ und „Martina Peters“.
Seien Sie hier also besonders vorsichtig. Darüber hinaus ist es ziemlich wahrscheinlich, dass noch weitere Fake-Namen auftauchen werden.
Sobinokibi ähnelt Gandcrab
Obwohl Sobinokibi noch nicht allzu lange im Umlauf ist, ähnelt seine Struktur sehr dem – mittlerweile in Rente geschickten – Erpressungstrojaner “Gandcrab“.
Auch die Vorgehensweise der Angreifer ist jener der Entwickler von Gandcrab nicht unähnlich.
Gandcrabs Entwickler hatten ihre Ransomware-Kampagne im Juni für beendet erklärt. Dabei bedankten sie sich höhnisch bei ihren Opfern für die “Kooperation”.
Lösegeld in Form von Bitcoins
Die Angreifer fordern ein Lösgeld von 0,16 Bitcoins für den Key zum Entschlüsseln der Dateien. Zur Zeit entsprechen 0,16 Bitcoins etwa 1300 Euro. Wird der Forderung nicht nachgegangen, verdoppelt sich der Betrag mit jeder vergangenen Woche.
Viele betroffene Unternehmen gehen der Forderung nach, um schnellstmöglich wieder weiterarbeiten zu können.
Alternativen zur Lösegeldzahlung
Den Lösegeldforderungen sollten Sie besser nicht nachgehen:
Zum einen können Sie nicht sichergehen, dass Sie nach der Zahlung auch tatsächlich den Schlüssel von den Hackern bekommen. Zum anderen trägt eine Zahlung des Lösegelds nur dazu bei, dass die Hacker weitere Angriffe finanzieren können.
Darüber hinaus gibt es die Entschlüsselungs-Keys häufig schon im Internet zu finden. Auch einige Anbieter von Antiviren-Software bieten Entschlüsselungstools, mit denen Sie im Idealfall schnell wieder an Ihre Daten gelangen.
Natürlich kann auch ein IT-Dienstleister mit den entsprechenden Tools Ihre Daten entschlüsseln.
Am wenigsten zu befürchten haben wohl die Unternehmen, die regelmäßig und häufig Backups durchführen lassen. Diese Unternehmen können ihr System einfach auf den Zeitpunkt vor dem Angriff zurücksetzen. Datenverlust und Einschränkungen im Betriebsablauf bleiben gering.
Die richtige Vorsorge spart eine Menge Geld
Ein erfolgreicher Angriff mit einer Ransomware wie Sodinokibi bedeutet für ein Unternehmen oft hohe Verluste (In den Jahren 2016 und 2017 waren es allein 43,4 Milliarden Euro Schaden in deutschen Unternehmen).
In vielen Fällen bleibt nämlich nicht nur ein Rechner betroffen: Der Schädling breitet sich über das gesamte Netzwerk aus, befällt andere Arbeitsplätze und Server.
Es wird unmöglich, auf die Daten zuzugreifen und weiter zu arbeiten. Der Betrieb steht still.
Zusätzlich kommt die Kompromittierung Ihrer Daten hinzu. Ein Schädling, der Ihre Daten verschlüsselt bedeutet nämlich auch, dass die Angreifer Zugriff auf Ihre Daten haben.
Sind personenbezogene Daten – etwa wie Kundeninformationen – betroffen, dann kommt auch noch die datenschutzrechtliche Brisanz hinzu.
Wenn Sie nicht nachweisen können, dass Sie angemessene Schutzmaßnahmen getroffen haben, können hohe Bußgelder folgen.
Mit der richtigen Vorsorge sparen Sie sich also eine Menge Geld, Ärger, Zeit und behalten das Vertrauen Ihrer Kunden.
Wie können Sie Ihr Unternehmen schützen?
Der beste Schutz vor Ransomware-Angriffen ist eine ganzheitliche Sicherheitslösung.
Um diese zu erhalten, ist eine Kombination aus verschiedenen Sicherheitsmaßnahmen notwendig.
Technische Maßnahmen:
- Eine auf die Bedürfnisse Ihres Unternehmens angepasste Firewall mit entsprechender Konfiguration
- Eine Antivirus-Software, die stets aktuell gehalten wird.
Es reicht nicht aus, sich auf vorinstallierte Software zu verlassen. - Betriebsysteme und andere Software schnellstmöglich updaten lassen. Durch regelmäßige Updates
werden Sicherheitslücken umgehend geschlossen. - Regelmäßige und häufige Backups. Je öfter Sie Ihre Daten sichern lassen, desto umfangreicher lässt sich Ihr System wiederherstellen. Datenverlust bleibt gering.
Menschliche Maßnahmen:
Technische Sicherheitslösungen bieten einen guten Schutz. Allerdings sind sie auch kein Wundermittel. Wenn Sie oder einer Ihrer Mitarbeiter einen Schädling selber hereinlassen, etwa indem schädliche Emailanhänge geöffnet oder infizierte Dateien heruntergeladen werden, können viele technische Sicherheitsmaßnahmen einfach umgangen werden.
Im vorherigen Abschnitt habe ich erwähnt, dass Antivirus-Software stets aktuell gehalten werden soll:
Das ist notwendig, damit Informationen über neue Schädlinge, die in die Datenbanken der AV-Software-Entwickler aufgenommen werden, auch auf Ihrem System ankommen.
Im Idealfall kann so auch ein Schädling, den Sie selber hereinlassen, frühzeitig erkannt und abgewehrt werden.
Sie können diesen Mechanismus mit einer Impfung vergleichen. Jedes Update wappnet das Immunsystem Ihres Rechners gegen neue Bedrohungen.
Lassen Sie die Schädlinge am besten gar nicht herein.
Um die Gefahren aus dem Netz zu erkennen, sind Schulungen zur Sensibilisierung überaus sinnvoll. Das größte Sicherheitsrisiko ist nämlich immer noch der Mensch selbst.
Trotz Sensibilisierung, Aufklärung und Vorsicht können selbstverständlich auch mal Fehler passieren. Besonders in der täglichen Informationsflut kann in einem kurzen Moment der Unaufmerksamkeit schnell eine schädliche Email geöffnet werden.
Kein Grund zur Panik.
Meine Daten sind verschlüsselt. Was kann ich tun?
Falls Sie und Ihr Unternehmen von einem Ransomware-Angriff mit Sodinokibi oder einem ähnlichen Schädlingen betroffen sind, empfehlen wir Ihnen die Hilfe von Experten. Zahlen Sie nicht das Lösegeld!
Wenn Sie selber kein Experte sind oder nicht über eigene IT-Mitarbeiter verfügen, dann ist es ratsam, sich an einen IT-Dienstleister zu wenden.
Dieser kann dafür sorgen, dass die weitere Verbreitung des Schädlings verhindert wird und mit der Bereinigung Ihres Systems beginnen. Ein IT-Dienstleister kann in den meisten Fällen auch Ihre Daten wieder entschlüsseln.
Die beste Möglichkeit ist natürlich, Ihre Daten über Backups einfach wiederherzustellen.
Sollten Sie noch keine Backups durchführen, dann sollten Sie nicht länger zögern.
Hilfe von Kastl & Rieter
- Sie sind von einem Ransomware-Angriff betroffen?
Nehmen Sie unsere Soforthilfe in Anspruch. Wir stehen Ihnen schnellstmöglich zur Seite. - Sie möchten Ihre Unternehmens-IT rundum sichern?
Rufen Sie uns an ( 0221 / 630 6151 60 ) oder schreiben Sie uns via Kontaktformular und vereinbaren Sie einen Beratungstermin! - Sie wünschen sich Schulungen und Workshops zum Thema IT-Sicherheit?
Wir sind für Sie da. Nehmen Sie ganz einfach Kontakt zu uns auf! - Ihnen fehlt noch der richtige Dienstleister, der Ihre Unternehmens-IT betreut?
Unsere Kunden und Partner helfen Ihnen bei der Entscheidung.
Gehen Sie mit gutem Beispiel voran: Machen Sie Ihr Unternehmen und Deutschlands IT-Landschaft sicherer!
Wir freuen uns, Ihnen helfen zu dürfen.
Ihr Kastl & Rieter IT-Service