Gefälschte BKA-Mails verbreiten Schadsoftware

Das Bundeskriminalamt (BKA) warnt vor aktuell im Umlauf befindlichen E-Mails, die vermeintlich in seinem Namen verschickt werden. Sie sind als offizielle Warnung vor der Ransomware Locky getarnt, dienen aber in Wirklichkeit zur Verbreitung einer Schadsoftware.

Im Anhang der Nachrichten findet sich eine Datei namens „BKA Locky Removal Kit.exe“. Bei ihr handelt es sich nicht wie im E-Mail-Text beschrieben, um ein Analysetool zum Identifizieren und Entfernen der Ransomware, sondern um einen Trojaner. Daher sollte der Anhang auf keinen Fall geöffnet und eine entsprechende E-Mail sofort gelöscht werden.

Laut BKA sind die gefälschten Nachrichten, die auch das Logo des Bundeskriminalamts enthalten, mit „Steven Braun (IT-Beauftragter) Bundeskriminalamt“ unterzeichnet. Der bislang bekannte Betreff der Fake-E-Mails lautet „Offizielle Warnung vor Computervirus Locky“.

Sofern sie die angehängte Datei bereits heruntergeladen und ausgeführt haben, sollten Anwender einen vollständigen Systemscan mit einer aktuellen Antivirensoftware durchführen. Außerdem ist zu beachten, dass nach Ausführung der Datei zumindest die Gefahr besteht, dass Zugangsdaten für Internetdienste bereits ausgespäht wurden. Daher sollten Nutzer in jedem Fall Passwörter von einem nicht infizierten Gerät aus ändern. Weitere Hilfestellungen und Informationen zum Umgang mit infizierten Computern bieten das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Initiative „Botfrei„.

Im Zusammenhang mit der jüngsten Fake-Mail-Welle weist das BKA nochmals darauf hin, dass es grundsätzlich keine persönlich adressierten E-Mails verschickt. Warnungen erfolgten entweder über seine Website oder als offizielle Pressemitteilung.

Die Ransomware Locky verbreitet sich verstärkt seit Mitte Februar über per E-Mail verschickte Word-Dokumente. Die angeblichen Rechnungen enthalten ein Makro, durch dessen Ausführungen die Erpresser-Malware auf den Rechner gelangt. Eine ähnliche Technik nutzte schon die Banking-Malware Dridex, weshalb Sicherheitsforscher von Palo Alto Networks eine Verbindung zwischen den Hintermännern der beiden Schadprogramme vermuten.

Der Sicherheitsforscher Kevin Beaumont wies im Februar darauf hin, dass von Locky verschlüsselte Dateien die Endung „.locky“ erhalten. Ihm zufolge infizierte Locky zum damaligen Zeitpunkt bis zu fünf neue Rechner pro Sekunde. Deutschland lag damals in seiner Statistik mit 5300 neuen Infektionen pro Stunde sogar an erster Stelle, vor den Niederlanden, den USA und Kroatien. Die in mehrere Sprachen übersetzten Malware sei außerdem in der Lage, sich in Netzwerken zu verbreiten.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de