Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Aktuelle Spam-Mails verteilen Ransomware im Namen des BSI

Derzeit spült eine Spam-Welle einen Erpressungstrojaner in E-Mail-Postfächer. Er versteckt sich hinter einem falschen Warnhinweis zu kompromittierten Daten.

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen
Aktuelle Spam-Mails verteilen Ransomware im Namen des BSI

(Bild: Shutterstock / Michael Traitov)

Lesezeit: 2 Min.
Security
Von

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derzeit vor Spam-E-Mails mit der Absender-Adresse meldung@bsi-bund.org. Die Betreffzeile laute "Warnmeldung kompromittierter Benutzerdaten - Bundesamt für Sicherheit in der Informationstechnik".

Im Inneren der Mails werde, so schreibt das BSI in einer kurzen Sicherheitswarnung, ein "Datenmissbrauch" vorgetäuscht und auf eine angehängte Datei verwiesen.

Nähere Details nennt ein Artikel der IT-News-Webseite Bleeping Computer, dessen Autor eine der Spam-Mails nebst Anhang analysiert hat. Der E-Mail hängt demnach ein ZIP-Archiv an, in dem sich ein Downloader für eine Variante der (Windows-spezifischen) Ransomware Sodinokibi – auch bekannt als REvil und Sodin – versteckt.

Das BSI rät dazu, die Spam-Mails umgehend zu löschen und weder den Anhang zu öffnen noch auf (möglicherweise in künftigen Mail-Varianten) enthaltene Links zu klicken.

Rechtschreibfehler überschaubar

Bleeping Computer gibt den Text der Spam-Mail wie folgt wieder:

Sehr geehrte Damen und Herren,

der europäische Rechtsakt zur Cyber-Sicherheit ("Cybersecurity Act") ist am 27. Juni 2019 in Kraft getreten. Das Bundesamt für Sicherheit in der Informationstechnik ist seitdem verpflichtet Sie über möglichen Missbrauch Ihrer Daten zu informieren.

Am 14. Juli 2019 wurden mehrere Schwachstellen auf hoch frequentierten Internetseiten identifiziert, welche zu Verlust von persönlichen Daten geführt haben. Nach sorgfältiger Analyse der uns vorliegendenden Datensätzen. können wir bestimmend sagen, dass Ihre Daten teil des vorliegenden Datensatzes sind, wir raten Ihnen deshalb umgehend kompromittierte Passwörter zu ändern.

Der als Datensatz getarnte Downloader im ZIP-Archiv ist laut Bleeping Computer eine als PDF getarnte HTA-Datei (HTML Application). Nach Doppelklick lade er "Sodinokibi" aus dem Internet nach und führe die Ransomware aus. Diese wiederum verschlüssele Dateien auf dem Zielsystem und hänge ihnen eine (auf jedem System andere) neue Endung an. Darüber hinaus lösche sie auch sämtliche Schattenkopien und deaktiviere die Windows-eigene automatische Reparaturfunktion.

Die Ransomware hinterlässt diese Erpresserbotschaft mit dem Dateinamen [Dateierweiterung]-HOW-TO-DECRYPT.txt in jedem Verzeichnis mit verschlüsselten Dateien.

(Bild: Bleeping Computer)

Sodinokibi ist schon länger unterwegs

Weitere technische Details zu Sodinokibi nennt Cisco Talos in einem Blogeintrag. Das Forscherteam ist der Ransomware schon seit April auf den Fersen: Damals soll sie unter Ausnutzung der kritischen Schwachstelle CVE-2019-2725 Oracle WebLogic Server angegriffen haben.

Mehr zum Thema Ransomware:

(ovw)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Viren & Würmer

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten