Menü

Aktuelle Spam-Mails verteilen Ransomware im Namen des BSI

Derzeit spült eine Spam-Welle einen Erpressungstrojaner in E-Mail-Postfächer. Er versteckt sich hinter einem falschen Warnhinweis zu kompromittierten Daten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 25 Beiträge

(Bild: Shutterstock / Michael Traitov )

Von

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derzeit vor Spam-E-Mails mit der Absender-Adresse meldung@bsi-bund.org. Die Betreffzeile laute "Warnmeldung kompromittierter Benutzerdaten - Bundesamt für Sicherheit in der Informationstechnik".

Im Inneren der Mails werde, so schreibt das BSI in einer kurzen Sicherheitswarnung, ein "Datenmissbrauch" vorgetäuscht und auf eine angehängte Datei verwiesen.

Nähere Details nennt ein Artikel der IT-News-Webseite Bleeping Computer, dessen Autor eine der Spam-Mails nebst Anhang analysiert hat. Der E-Mail hängt demnach ein ZIP-Archiv an, in dem sich ein Downloader für eine Variante der (Windows-spezifischen) Ransomware Sodinokibi – auch bekannt als REvil und Sodin – versteckt.

Das BSI rät dazu, die Spam-Mails umgehend zu löschen und weder den Anhang zu öffnen noch auf (möglicherweise in künftigen Mail-Varianten) enthaltene Links zu klicken.

Bleeping Computer gibt den Text der Spam-Mail wie folgt wieder:

Sehr geehrte Damen und Herren,

der europäische Rechtsakt zur Cyber-Sicherheit ("Cybersecurity Act") ist am 27. Juni 2019 in Kraft getreten. Das Bundesamt für Sicherheit in der Informationstechnik ist seitdem verpflichtet Sie über möglichen Missbrauch Ihrer Daten zu informieren.

Am 14. Juli 2019 wurden mehrere Schwachstellen auf hoch frequentierten Internetseiten identifiziert, welche zu Verlust von persönlichen Daten geführt haben. Nach sorgfältiger Analyse der uns vorliegendenden Datensätzen. können wir bestimmend sagen, dass Ihre Daten teil des vorliegenden Datensatzes sind, wir raten Ihnen deshalb umgehend kompromittierte Passwörter zu ändern.

Der als Datensatz getarnte Downloader im ZIP-Archiv ist laut Bleeping Computer eine als PDF getarnte HTA-Datei (HTML Application). Nach Doppelklick lade er "Sodinokibi" aus dem Internet nach und führe die Ransomware aus. Diese wiederum verschlüssele Dateien auf dem Zielsystem und hänge ihnen eine (auf jedem System andere) neue Endung an. Darüber hinaus lösche sie auch sämtliche Schattenkopien und deaktiviere die Windows-eigene automatische Reparaturfunktion.

Die Ransomware hinterlässt diese Erpresserbotschaft mit dem Dateinamen [Dateierweiterung]-HOW-TO-DECRYPT.txt in jedem Verzeichnis mit verschlüsselten Dateien.

(Bild: Bleeping Computer)

Weitere technische Details zu Sodinokibi nennt Cisco Talos in einem Blogeintrag. Das Forscherteam ist der Ransomware schon seit April auf den Fersen: Damals soll sie unter Ausnutzung der kritischen Schwachstelle CVE-2019-2725 Oracle WebLogic Server angegriffen haben.

Mehr zum Thema Ransomware:

(ovw)