Aktuelles, Branche - geschrieben von am Montag, August 5, 2019 15:37 - 2 Kommentare

GermanWiper: In Bewerbungen versteckte Ransomware

Dateien durch Überschreiben mit Nullen für immer verloren

[datensicherheit.de, 05.08.2019] Ende Juli 2019 sei bundesweit eine neue Ransomware aufgetaucht, die derzeit für Furore sorge. Diese Schadsoftware namens „GermanWiper“ (Deutscher Wischer) verschlüsselt demnach keine Dateien, sondern überschreibt ihren Inhalt mit Nullen („0“) und zerstört so dauerhaft die Daten der Benutzer, warnt Jürgen Venhorst, „Country Manager“ bei Netwrix für die DACH-Region.

Angebliche Bewerbung einer Lena Kretschmer enthält GermanWiper

Versendet werde sie mit „Malspam“ versteckt in Bewerbungen. Eine derzeit im Umlauf befindliche Variante enthält lt. „ZDNet“ und dem CERT-Bund die angebliche Bewerbung einer Lena Kretschmer. Venhorst: „Wie Heise erklärt, ist bei dem Bewerbungsschreiben ein Zip-Archiv angehängt, dass jedoch nicht den versprochenen Lebenslauf im Word-Format, sondern eine ,Windows‘-Link-Datei beinhaltet. Wenn ein Empfänger diese Datei ausführt, überschreibt die Ransomware den Inhalt verschiedener lokal gespeicherter Dateien mit dem Wert 0x00 (Nullzeichen) und fügt allen Dateien eine neue Erweiterung hinzu.“ Diese Erweiterung habe ein Format von fünf zufälligen alphanumerischen Zeichen, wie .08kJA, .AVco3, .OQn1B oder .rjzR8.

Jürgen Venhorst, Country Manager der DACH-Region bei Netwrix

Bild: Netwrix

Jürgen Venhorst, „Country Manager DACH“ bei Netwrix

GermanWiper lässt offenbar nicht zu, den Schreibvorgang rückgängig zu machen

Nachdem alle Dateien „verschlüsselt“ bzw. überschrieben wurden, öffne die Ransomware eine Lösegeld-Notiz im HTML-Format, „die in dem Browser angezeigt wird, den der Empfänger als Standardbrowser ausgewählt hat“. Dieses Schreiben fordere vom Opfer die Zahlung eines Lösegelds. „Das Problem nun ist, dass ein solches zu überweisen dem Opfer nicht helfen wird, denn die Daten sind überschrieben worden und damit für immer verloren“, so Venhorst. Nur wenn das Opfer ein Backup der Dateien in der Cloud oder auf externen Speichergeräten erstellt hat, könnten diese wiederhergestellt werden. „So wie die Experten das bislang beurteilen, haben die Angreifer keine Möglichkeit von außen, den Schreibvorgang rückgängig zu machen.“ Alle Empfänger, deren Konten und IT-Systeme mit dieser Ransomware infiziert wurden, sollten deshalb auf keinen Fall das geforderte Lösegeld bezahlen.

Aufklärung der Belegschaft, wie Social-Engineering-Angriffe in der Regel funktionieren

Diese über „Malspam“ verbreitet Attacke zeige, dass „Social Engineering“-Angriffe eine große Cyber-Bedrohung für Unternehmen und öffentliche Einrichtungen seien. „Falsches Verhalten von Mitarbeitern, wie das Klicken auf unbekannte Mail oder das Öffnen von Attachments ist umso wahrscheinlicher, wenn ein Unternehmen seine Mitarbeiter nur zum Zeitpunkt der Einstellung über die Cyber-Sicherheitsrichtlinien informiert, statt sie zu einer ständigen Priorität zu machen.“ Schulungen seien ein gutes Tool; es sei aber effektiver, „kurze Videos zu nutzen, um reale Situationen nachzustellen und zu zeigen, wie Social-Engineering-Angriffe in der Regel funktionieren“, erläutert Venhorst.

Benachrichtigungen über Anomalien erhalten und sofort eingreifen können

Natürlich werde der Eine oder Andere angesichts einer echten Phishing-E-Mail noch immer unverantwortlich handeln. Eine Studie von Verizon zeige, dass vier Prozent der Personen einen verdächtigen Anhang immer anklickten. Deshalb sei es ratsam, regelmäßig einen Phishing-Simulationstest durchzuführen, „um zu prüfen, ob die Schulung effektiv war und ob Mitarbeiter den Informationen zu empfohlenen Verhaltensweisen und Sicherheitsrichtlinien folgen“, rät Venhorst. Schließlich sollten Unternehmen über Methoden verfügen, „die es ihnen ermöglichen, bösartige Aktivitäten in ihren Systemen zu erkennen“. Ein Zeichen dafür, dass Ransomware versucht, in das eigene Netzwerk einzudringen, sei eine große Anzahl von Zugriffsversuchen auf die Dateien. „Stellen Sie sicher, dass Sie über Tools und Prozesse verfügen, mit denen Sie Benachrichtigungen über solche Anomalien erhalten und sofort eingreifen können, um eine verdächtige Sitzung zu beenden. Diese Lösungen helfen internen Sicherheitsexperten, Bedrohungen rechtzeitig zu erkennen.“

Zugriffsrechte einzelner User müssten hinterfragt werden

Auch Zugriffsrechte einzelner User müssten hinterfragt und in Einklang mit den internen, sowie gesetzlichen Vorgaben und Richtlinien sein. Richtlinien sollten immer wieder aktualisiert und an die User weitergegeben werden. Eine Lösung zur Datenklassifizierung und Zugriffskontrolle könne hier helfen, Daten vor unberechtigtem Zugriff zu schützen. Darüber hinaus ließen sich Datenschutzverletzungen vermeiden, das Risikopotenzial mindern und die Einhaltung von gesetzlichen Vorschriften wie der DSGVO erreichen und im Bedarfsfall nachweisen.

Weitere Informationen zum Thema:

ZDNet, Catalin Cimpanu, 02.08.2019
GermanWiper ransomware hits Germany hard, destroys files, asks for ransom / Users advised not to pay the ransom under any circumstances!

CERT-Bund auf twitter, 02.08.2019
Angreifer versenden aktuell gefälschte Bewerbungen im Namen von „Lena Kretschmer“ zur Verbreitung der #Ransomware #GermanWiper. Nicht die Anhänge der Mail öffnen!

datensicherheit.de, 24.07.2019
Ransomware: Tipps zur Vermeidung des Digitalen Supergaus

datensicherheit.de, 17.07.2019
Hinter Bewerbungen versteckt: Sodinokibi-Ransomware

datensicherheit.de, 11.07.2019
Leak von Kundendaten: Geldbuße für British Airways



2 Kommentare

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Rolf Stange
Aug 8, 2019 12:40

Ich vermute, dass es sich bei „GermanWiper“ um nichts anderes als eine Hoax-Meldung handelt.
Schon mal die Meldung auf CERT-Bund.de gefunden, auf die -ganz wichtig- in den Meldungen bewiesen wird? Ich habe nichts gefunden!

Und dann auch danach suchen, wann von Hoax gesprochen wird.

Freundliche Grüße
R. Stange

Carsten Pinnow
Aug 8, 2019 13:14

Sehr geehrter Herr Stange,

die Redaktion von datensicherheit.de geht davon aus, dass es sich nicht um einen Hoax handelt. Die Warnung wird vom CERT-Bund auf twitter veröffentlicht (s. https://twitter.com/certbund/status/1157246114678169600), Dort ist auch zu lesen, dass Meldungen dieser Art ausschliesslich dort verbreitet werden.

Mit freundlichen Grüßen

Carsten Pinnow

Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung