Zur Navigation | Zum Inhalt


Im Anhang der E-Mails werden ein Bild der vermeintlichen Bewerberin sowie eine Zip-Datei mit zwei identischen, aber unterschiedlich benannten Dateien ausgeliefert. Beides sind ausführbare Dateien (.exe). Werden sie angeklickt, beginnen sie mit der Verschlüsselung des Rechners mit der symmetrischen Stromverschlüsselung Salsa20. Es ist zu befürchten, dass die verwendeten Bilder irgendwo aus dem Internet genommen wurden und die abgebildeten Personen weder etwas davon wissen noch mit den Angriffen in Zusammenhang stehen.

Die Angreifer verwenden das Ransomware-Framework GandCrab in Version 4. Dies ermittelt unter anderem den Nutzernamen, den PC-Namen, die Domäne, das Tastaturlayout sowie das Betriebssystem und speichert die öffentliche IP-Adresse. Auf einem Tor Hidden Service wird eine eindeutige URL generiert, unter der Anweisungen zur Zahlung gegeben werden. Der verlangte Betrag variiert in der Höhe.
"Die von uns erkannten und abgewehrten Bedrohungen richten sich vor allem an Unternehmen", sagt Tim Berghoff, Security Evangelist bei G DATA. "Die Kriminellen arbeiten sehr professionell, wir sehen im Unterschied zu anderen Ransomware-Kampagnen kaum orthographische Fehler. Außerdem wird bei jeder Malware-Welle ein professionell aussehendes Bewerbungsbild verwendet."

Fast täglich eine neue Fake-Bewerbung.Die Angriffe werden seit rund einer Woche beobachtet. Seitdem wurde fast jeden Tag eine neue "Bewerbung" erstellt und versendet. Am Montag dieser Woche verwendeten die Angreifer den Namen Hannah Sommer. An den Tagen zuvor die Namen Viktoria Hagen, Caroline Schneider, Nadine Bachert und Sofia Bachmann.
"Personalabteilungen könnten Bewerbungen auf einem speziellen PC öffnen, der nicht mit dem restlichen Netzwerk des Unternehmens verbunden ist. Diese Vorsichtsmaßnahme gilt insbesondere dann, wenn Personalentscheidungen in kleineren Unternehmen noch direkt von der Geschäftsführung getroffen werden." Denn gerade Rechner aus der Geschäftsführung seien ein besonders attraktives Ziel für Kriminelle.

unsere wichtigsten Partner:

dell_partner_direct