IT-Sicherheit

Gandcrab Erpressertrojaner

Vorsicht vor falschen Bewerbungen per E-Mail

von 04.09.2018
gandcrab erpressertrojaner
Der Gandcrab Erpressertrojaner verteilt sich über Bewerbungsmails

Gandcrab heißt der neue Schrecken der Personalabteilung. Der Erpressertrojaner greift gezielt Unternehmen an, indem er sich als Bewerbung per E-Mail tarnt. In Zeiten des Personalmangels und der oft vergeblichen Suche nach Fachkräften eine besonders perfide Masche.
Alle Infos zu Gandcrab erhalten Sie hier und wir erklären, wie Sie Ihr Unternehmen aktiv vor Ransomware schützen können.

gandcrab erpressertrojaner

Der Gandcrab Erpressertrojaner verteilt sich über Bewerbungsmails

Gandcrab Erpressertrojaner in Umlauf

Das LKA Niedersachsen warnt aktuell massiv vor Gandcrab. Dabei handelt es sich um einen Erpressertrojaner, der gezielt deutsche Unternehmen angreift. Konzipiert ist er augenscheinlich bislang nur für Windows-Rechner, aber auch als Mac Nutzer sollten Sie beim Öffnen von Bewerbungen per E-Mail Vorsicht walten lassen. Einem aktuellen Test von virustotal.com zufolge, erkennen 26 von 65 verfügbaren Antivirus-Programmen den Verschlüsselungstrojaner nicht.
Im Gegensatz zu offensichtlichen Maschen, Schadsoftware in Unternehmen einzuschleusen à la „Ihr PayPal Konto wurde gesperrt“, sind Erpressertrojaner, die sich als Bewerbung tarnen, besonders effektiv. Der nachvollziehbare Grund: zahlreiche Unternehmen haben immer mehr Schwierigkeiten, qualifiziertes Personal zu finden. Das gilt besonders für Standorte abseits von Metropolen wie Berlin, Hamburg und Co. Die Folge: tausende Stellen sind ausgeschrieben und naturgemäß ist die Bewerbung per E-Mail das gewünschte Format. Genau das machen sich Hacker zunutze und entwickeln Ransomware wie Gandcrab, die so authentisch getarnt ist, dass unzählige Personaler und Inhaber achtlos den Anhang öffnen.

Gandcrab Ransomware erkennen

Das aktuelle Beispiele von Gandcrab zeigt: Erpressertrojaner auf einen Blick zu erkennen, ist nicht einfach. Die E-Mails enthalten Betreffzeilen wie beispielsweise „Bewerbung auf die ausgeschriebene Stelle – Nadine Bachert“ sowie einen kurzen Begrüßungstext und ein echt wirkendes Portrait-Foto. Leider nützt es nichts, die fiktive Frau Bachert jetzt auf die schwarze Liste zu setzen, denn die Namen variieren von Angriff zu Angriff. Bislang ist ebenfalls der Name „Hannah Sommer“ bekannt.
Der Inhalt der Gandcrab Mail stellt sich in der Regel wie folgt dar:
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundenbetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen. 
Ich freue mich auf ein persönliches Vorstellungsgespräch.
Mit besten Grüßen
Im Anschluss öffnen viele Personaler und Geschäftsführer arglos die angehängte ZIP-Datei. Und dann nimmt das Drama seinen Lauf.

E-Mail Anhang geöffnet – was nun?

Wer die ZIP-Datei entpackt und öffnet, hat schon verloren. Eine automatisch ausgeführte EXE-Datei verschlüsselt innerhalb von Sekunden das gesamte System und fordert anschließend ein fettes Lösegeld.
Folgender Text erscheint dann auf dem Bildschirm, gefolgt von der Aufforderung, den Anweisungen auf einer Website zu folgen, die über den Tor-Browser zu öffnen ist:
„—= GANDCRAB V4 =— 
Achtung! 
Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschlüsselt und haben die Dateiendung: .KRAB Die einzige Methode zum Wiederherstellen Ihrer Dateien besteht darin, Ihren persönlichen privaten Schlüssel zu erwerben. Nur wir können Ihnen diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen. Die komplette Anleitung um Ihren privaten Schlüssel zu erwerben finden Sie auf unserer Webseite welche sich im TOR-Netzwerk befindet. Bitte folgen Sie diesen Schritten um auf unsere Webseite zu gelangen:
An dieser Stelle unsere Empfehlung: Trennen Sie den Rechner sofort vom Netzwerk und wenden Sie sich umgehend an die zentrale Ansprechstelle Cybercrime (ZAC) des LKA. Dort haben Sie die Möglichkeit, Anzeige zu erstatten. Die Zahlung sollten Sie nicht leisten, da auch noch nicht bekannt ist, ob die Daten im Anschluss überhaupt wieder freigegeben werden oder das Geld einfach weg ist. Stand heute gibt noch kein entsprechendes Entschlüsselungstool für Gandcrab. Regelmäßig prüfen können Sie die Verfügbarkeit auf der Website von ID Ransomware.

Schutz vor Gandcrab und Co.

Um aktuell und künftig vor Lösegeld-Forderungen durch Erpressertrojaner gefeit zu sein, empfehlen wir eine Reihe von Maßnahmen:

  1. Schulen Sie Ihre Mitarbeiter. Informieren Sie besonders Kollegen aus der Personalabteilung und vom Empfang über die Angriffswellen durch gefälschte Bewerbungen per E-Mail. Verfügen Sie zudem, dass besonders ZIP-Dateien niemals ohne Rücksprache mit dem IT-Support geöffnet werden dürfen. Ransomware kann sich zwar auch unter dem Deckmantel von Word- oder Excel-Formaten tarnen, die Verbreitung über ZIP-Dateien ist aber gängiger. Grundsätzlich sicherer sind PDFs.
  2. Sorgen Sie dafür, dass Ihre Antiviren-Programme immer auf dem neuesten Stand sind und alle wichtigen Updates direkt nach Veröffentlichung durchgeführt werden. Idealerweise überlassen Sie automatische Sicherheits-Updates Experten des IT-SERVICE.NETWORK.
  3. Setzen Sie einen Stand-alone-PC ein und lassen Sie Bewerbungsmail nur darüber öffnen. Dieser Rechner sollte vom übrigens Unternehmensnetzwerk und dem Server getrennt sein. So hält sich der Schaden im Fall eines Falles zumindest in Grenzen.
  4. Lassen Sie regelmäßig Backups Ihrer Unternehmensdaten erstellen. Dank automatisierter Software ist dies ohne Weiteres möglich. So können Sie sicher sein, im Falle eines Datenverlusts (beispielsweise durch nicht erfolgte Lösegeld-Zahlung) weiterhin auf all Ihre Daten zugreifen zu können. Natürlich wichtig hierbei: die Backups dürfen nicht auf Ihren eigenen Servers erstellt und gespeichert werden, sonst sind sie ebenfalls weg, Ihr Anprechpartner aus dem IT-SERVICE.NETWORK berät Sie gern zu den Möglichkeiten einer automatischen Backuperstellung.

Update vom 25.04.2019 – Gandcrab greift Confluence an
Wie heise-online berichtet, nutzt Gandcrab aktuell eine Lücke im beliebten Enterprise Wiki Confluence aus, um gezielt deren Nutzer anzugreifen. Installieren Sie daher unbedingt die aktuellste Programm-Version und bleiben Sie wachsam.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen