Erpressung: Sodinokibi-Ransomware versteckt sich hinter Bewerbungen

18.07.2019
G DATA Blog

Eine neue Ransomware-Familie wird derzeit über gefälschte Bewerbungen verteilt. Die Macher nutzen offenbar die gleiche Infrastruktur wie zuvor bei GandCrab.

Derzeit greifen Cyberkriminelle gezielt Personalabteilungen in Deutschland mit einer Variante der Sodinokibi-Ransomware an. Seit dem 16. Juli verschicken Angreifer entsprechende Mails, die angeblich Bewerbungen enthalten. Als Namen der vermeintlichen Bewerberinnen sind derzeit Sandra Schneider, Sabine Lerche und Martina Peters im Umlauf.

Bei schnelllebigen Ransomware-Kampagnen ist allerdings zu erwarten, dass sich die verwendeten Namen schnell ändern, um den Erfolg der Angriffe zu erhöhen. Ransomware wird immer wieder über zum Teil professionell aussehende Bewerbungen verteilt, mittlerweile sogar häufig auf konkret bei einem Unternehmen ausgeschriebene Stellen.

G DATA Sicherheitsexperte Karsten Hahn sagt dazu: „Die Sodinokibi-Ransomware hat sich in kurzer Zeit zu der fünfthäufigsten Ransomware-Familie entwickelt. Offenbar verwendet das Team dahinter die gleiche Taktik bei der Verbreitung der Spam-Mails wie zuvor bei GandCrab.“ Die Erpresser fordern einen Betrag von 0,16 Bitcoin. Das entspricht derzeit in etwa 1300 Euro. Nach einer Woche verdoppelt sich der zu zahlende Betrag.

Gleiche Infrastruktur wie bei GandCrab

Die Sodinokibi-Ransomware ist erst seit kurzer Zeit aktiv. Die Cyberkriminellen verwenden derzeit die gleiche Infrastruktur wie die Macher hinter dem Verschlüsselungstrojaner GandCrab. Diese hatten unlängst angekündigt, sich aus dem Geschäft zurückziehen zu wollen.

G DATA Kunden werden durch mehrere Technologien vor dem Angriff geschützt. Mittels der KI-Technologie DeepRay kann der deutsche Cyber Defense Anbieter mit Packern nur leicht veränderte Malware-Samples schnell aufspüren und unschädlich machen. Mit DeepRay konnten bereits zahlreiche Samples der Malware aufgespürt werden. Das Anti-Ransomware-Modul bietet einen zusätzlichen Schutz. Es springt ein, wenn ohne ersichtlichen Grund Dateien auf der Festplatte verschlüsselt werden sollen und stoppt die Infektion.

Für Analystenkollegen:

Sodinokibi ist auch unter den Namen Sodin und REvil bekannt.

 

Martina Peters - Bewerbungsunterlagen 16.07.2019.zip

7fd46fdb270715f808244a1b3f8c1f60e16c5e23f7591bb1f369314f54daa959

Sabine Lerche - Bewerbungsunterlagen 16.07.2019.zip

ada37c65e611fb4a202af7c348deffa5473230a5d30a7bce62db08067c21100a

 

Sodinokibi EXE:

83F2D47984573B06B38092B1F015DBB283E0523B62EDC874138A983651FB5DC6

 

06f0b4aeb7ae40e819bf1a10601f0c0bc0e99503b937b5ea5836bbccfffc7645

27948fa6e94f6917286d523d5014abd9cd82be6f1808b2f489e08f13b2c9be1f

5d6bb05247f9042adc3c7374fb9fc0ec0e70243eddd1bff418f86679ae8ba01a

636278a72cb796791d5f20ffbd6d4bb01974dd1fa5dc0643976b1e6c685ba42c

70878ba112655a7cd35dbe481a304971145f8f1eb6c985eab4f36cd54f537ff8

b9984c5fc0cf62d88c88188b5567b47515541733aeaa4d3dd4e08b0517670fa6

bfb93133106168773f387ecbd256789ed3fc552ef38beef9140d7c1381fd3a20

e54b0652c094e688a7446a51f48c0ab71c3704faf3eaa60c48d82c0daa36e54b

Hauke Gierow
Teamlead PR & Public Affairs

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar