Hakbit-Ransomware

Achtung vor angeblichen 1&1-E-Mails!

Von in IT-Sicherheit
30
Jun
'20

Eine neue Cyberattacke richtet sich speziell an deutsche Unternehmen. Die Hakbit-Ransomware infiziert Systeme dabei wieder einmal über angehängte Excel-Dateien. Vermeintlich handelt es sich um E-Mails aus dem „1und1 Kundencenter“. 

Welche Rolle dabei die Schadsoftware GuLoader spielt und wie Sie sich schützen können, lesen Sie bei uns.

Zu sehen ist ein Laptop, der nur zu 30 Grad geöffnet ist und bunt leuchtet. Ob sich darauf Hakbit-Ransomware befindet. Bild: Unsplash/Edmonds

Cyberkriminelle attackieren Unternehmen aktuell mit der Hakbit-Ransomware. Bild: Unsplash/Edmonds

Hakbit-Ransomware: deutsche Unternehmen im Visir

In den E-Mail-Postfächern vieler Unternehmen finden sich in den vergangenen Tagen vermehrt E-Mails, die angeblich vom „1und1 Kundencenter“ versendet werden. In den Betreffzeilen wird zum Beispiel auf „Fwd: Steuerrückzahlung“ oder „Ihre Rechnung“ verwiesen. Seien Sie mit E-Mails dieser Art vorsichtig! Denn: Dahinter  verbirgt sich eine gefährliche Ransomware-Attacke. Darauf weisen die Sicherheitsexperten von Proofprint hin.

Und diese Attacke hat es in sich. Die Kriminellen verwenden zum Beispiel extra eine GMX-Adresse für den Versand – wohlwissend, dass GMX zur 1&1-Gruppe gehört. Die E-Mail als Köder weist zudem das Logo und das Branding von 1&1 auf, wodurch sie auf den ersten Blick als glaubwürdig erscheint. Ein genauerer Blick auf den Text zeigt allerdings, dass hier kein Sprachprofi am Werk war.

Unternehmen aus verschiedenen Branchen im Visir

Ziel der Attacke sind Unternehmen aus Deutschland, Österreich und der Schweiz – daher ist die E-Mail auch auf Deutsch verfasst. Sie stammen einer ganzen Palette von Bereichen, darunter Pharmazie, Recht, Finanzen, Geschäftsdienstleistungen, Einzelhandel oder Gesundheitswesen. Besonders im Fokus standen aber Unternehmen aus den Branchen Informationstechnologie, Fertigung, Versicherung und Technologie.

Dabei ist aufgefallen: Besonders Mitarbeiter mit Kundenkontakt haben die angebliche 1und1-Mail erhalten. Warum? Vermutlich weil deren E-Mail-Adressen im Internet öffentlich zu sehen und daher gut zu recherchieren waren. Die Sicherheitsexperten ziehen daraus eine eindeutige Schlussfolgerung: „[D]amit [wird] auch deutlich, wie gezielt Angreifer heutzutage vorgehen, um ihren potenziellen Erfolg zu maximieren.“

Und noch etwas ist für die Experten auffällig: Die neue Cyberattacke hat keinen Bezug zu COVID-19. Bei den Attacken der vergangenen Wochen war der nämlich meist vorhanden. Unser Tipp: Bleiben Sie wachsam! Denn: Cyberkriminelle haben es mit Ransomware und anderen Cyberangriffen nach wie vor auf Unternehmen abgesehen – egal ob mit oder ohne Bezug auf das Coronavirus.

Zu sehen ist eine E-Mail, über die die Hakbit-Ransomware verbreitet wird. Bild: Proofpoint

So sieht die E-Mail aus, über die sich die Hakbit-Ransomware verbreitet. Bild: Proofpoint

So läuft der Angriff mit der Hackbit-Ransomware ab

Und wie läuft dieser spezielle Cyberangriff mit der Hakbit-Ransomware nun genau ab? Im Anhang der angeblichen E-Mail des „1und1 Kundencenter“ befindet sich eine Excel-Datei, die bösartige Makros nutzt. Empfänger werden in der Mail zunächst dazu aufgefordert, die angehängte Datei an einem Rechner zu öffnen, weil sie auf mobilen Geräten angeblich nicht richtig dargestellt werden könne. Tatsächlich wollen die Angreifer aber nur den Erfolg ihres Angriffs sicher stellen. Denn: Diese Art von Makro funktioniert nicht auf Mobilgeräten.

Nach dem Öffnen der Excel-Datei erscheint dann auf Deutsch und Englisch die Aufforderung, die Makros zu aktivieren – erst dadurch könne der Inhalt korrekt angezeigt werden. Und hier wird es dann richtig gefährlich: Sind die Makros aktiviert, lädt die Datei die Schadsoftware GuLoader herunter und führt sie aus. Die wiederum lädt die Ransomware Hakbit nach und führt sie ebenfalls aus. Daraufhin werden die Dateien auf dem Rechner verschlüsselt. Die Lösegeldforderung: 250 Euro in Bitcoin.

Cyberattacken per Mail: Bleiben Sie wachsam!

Die Wachsamkeit aller Mitarbeiter bleibt also einer der wichtigsten Schutzmechanismen in Ihrem Unternehmen. Es gilt, jede E-Mail kritisch zu hinterfragen, besonders, wenn sie mit einem Anhang versehen ist. Security Awareness ist nicht nur das Gebot der Stunde, sondern für die Sicherheit eines jeden Unternehmens zu jeder Zeit grundlegend. Schulen Sie Ihre Mitarbeiter in diesem Bereich! Unsere Experten aus dem IT-SERVICE.NETWORK bieten solche Schulungen entweder selbst an oder können den Kontakt zu einem geeigneten Anbieter herstellen. Lassen Sie sich dazu gern beraten!

Neben der Security Awareness ist ein effektives Backup-Management der beste Schutz vor Cyberattacken: Anstatt das Bankkonto für die Zahlung von Lösegeld zu belasten, stellen Sie oder Ihr externer Dienstleister die verschlüsselten Daten ganz einfach aus dem Backup wieder hier und schon ist der Spuk vorüber. Die schnelle Lösung bei einem Ransomware-Befall ist dabei bei Weitem nicht der einzige Grund für ein stichhaltiges Datensicherheitskonzept. Nehmen Sie Kontakt zu einem unserer Profis auf und informieren sich zu Implementierung des Backup-Managements in Ihre Unternehmen!

Backup-Management

Schützen Sie sich mit einem effektiven Backup-Management vor Ransomware! Wir beraten Sie gern.

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.