Neue Ransomware-Kampagne nimmt US-Regierungsvertreter ins Visier

Forscher von Proofpoint warnen vor einer neuen Ransomware-Kampagne, die sich gegen Mitarbeiter der US-Regierung richtet. Sie sollen mit E-Mails mit eingebetteten schädlichen Links dazu verleitet werden, eine neue Variante der Ransomware CryptFile2 zu installieren. Der Schadcode selbst steckt jedoch in einer speziell präparierten Word-Datei.

Die E-Mails sind schon seit Anfang des Monats im Umlauf. Sie locken mit günstigen Preisen für Flugreisen innerhalb der USA und auch nach Kanada und Asien. Nutzer, die auf den Link klicken, werden zum Download eines Word-Dokuments weitergeleitet, das wiederum per Social Engineering versucht, ein Opfer zum Ausführen der enthaltenen Makros zu verleiten.

Das Word-Dokument versucht Nutzer per Social Engineering zum Ausführen eines Makros zu verleiten (Bild: Proofpoint).

Word blockiert jedoch ab Werk die Ausführung von Makros und auch die Bearbeitung von Dokumenten, die aus dem Internet heruntergeladen wurden. Das von den Hackern verfasste Dokument weist auch auf diesen Umstand hin, benutzt ihn aber zudem als Grund dafür, dass die eigentlichen Inhalte nicht sichtbar sind. „Bitte aktivieren Sie die Bearbeitung und Inhalte, um das Dokument zu betrachten“, schreiben sie.

Nutzer, die dieser Aufforderung nachkommen, führen das Makro aus, das dann die eigentliche Ransomware herunterlädt. Erst nach einer Lösegeldzahlung in Bitcoin sollen die zuvor verschlüsselten Dateien wieder freigegeben werden. Die Hintermänner der Kampagne betonen, dass es keine andere Möglichkeit gibt, die gesperrten Dateien wieder zugänglich zu machen. Außerdem verdoppele sich die Lösegeldforderung, wenn nicht zeitnah bezahlt werde.

Frühere Varianten von CryptFile2 wurden Proofpoint zufolge über die Exploit-Kits Nuclear und Neutrino verteilt. Der Einsatz von E-Mails mit eingebetteten URLs sei indes neu. Das erhöhe die Wahrscheinlichkeit, dass die E-Mail Spam- und Malwarefilter passiere, so die Forscher weiter. Die Kampagne erhöhe zudem das Risiko für den öffentlichen Sektor, der möglicherweise schlechter ausgestattet sei, um derartige Bedrohungen zu erkennen und abzuwehren.

Einer aktuellen Studie von Malwarebytes zufolge waren im vergangenen Jahr fast 40 Prozent aller Firmen in den USA, Kanada, Großbritannien und Deutschland von einer Lösegeld fordernden Schadsoftware betroffen. 34 Prozent der Umfrageteilnehmer verloren Umsätze durch Ransomware. 20 Prozent mussten sogar vorübergehend den Betrieb einstellen. Mehr als 40 Prozent der Opfer zahlten das Lösegeld. Die Studie zeigt aber auch, dass das Bezahlen der geforderten Summe nicht garantiert, dass das Opfer tatsächlich den Schlüssel zu seinen vom Schadprogramm verschlüsselten Dateien erhält.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.