„HR-Engineering“: Petya schaut sich nach neuen Jobs um

Jedem sollte längst klar sein, dass Ransomware eine Bedrohung für unser digitales Leben darstellt. Deswegen arbeiten unterschiedlichste Organisationen aus der Sicherheitsindustrie und den Regierungen (manchmal sogar zusammen) daran, unsere Gesellschaft vor Bedrohungen und Infizierungen zu verteidigen – und sie leisten wirklich ganze Arbeit!

Ich möchte mit diesem Artikel nicht zu weit in technische Details abtauchen. Es gibt bereits wirkliche gute Analysen über die neue Version des „grünen“ Petyas. Die dort dokumentierten Entdeckungen sind sehr hilfreich und bringen jeden von uns in diesem fortlaufenden Katz-und-Maus-Spiel Stück für Stück weiter, um letztendlich unsere Kunden zu beschützen.

Dennoch werden alle technischen Innovationen die Fehlerquelle „Faktor Mensch“ niemals komplett abdecken können. Wir haben bereits sehr viel von den Ransomware-Machern lernen können, leider gilt das auch umgekehrt. So werden zum Beispiel die Methoden zum Einleiten einer Infizierung immer komplexer und machen es für einen Normalsterblichen sehr schwer, Original und Fälschung zu unterscheiden. Werfen sie nur einmal einen Blick auf die folgende Email: Sie schaut doch wirklich seriös aus und würde bei uns zu der Schlussfolgerung führen, dass sie kein Fake sein kann.

petya2

Mal ehrlich, hätten Sie es geahnt? Ich denke, dass nur sehr wenig überhaupt vermuten würden, dass  hinter dieser Bewerbung ein maliziöses Programm auf der Lauer liegt. Ich finde, dass die Cyberkriminellen diesbezüglich wirklich ihre Hausaufgaben gemacht haben und mittlerweile ein sehr gutes Verständnis und Gespür dafür entwickelt haben, wie sie ihre bösartige Software auf die Computer der Opfer bekommen.

Petya ist das beste Beispiel: Während andere Ransomware-Arten auch weiterhin den Weg über maliziöse Dateianhänge (Microsoft Word-Dokumente, JavaScripts, etc.) gehen und diese  in ihren Spear Phising-Emails verwenden, ist Petya ein echter Innovator und setzt inzwischen neben Dopbox auf weitere Cloudanbieter wie MagentaCLOUD oder JottaCloud:

petya3

Der Vorteil solcher Cloudanbieter ist, dass jeder sie nutzen kann! Der Nachteil:  Auch die Cyberkriminellen können sie für ihre Zwecke missbrauchen.

Es ist interessant zu sehen, dass die Köpfe hinter Petya anscheinend bestens darüber Bescheid wissen, über welche Kanäle Bewerbungen an Firmen übermittelt werden. Und das inzwischen wegen der Komplexität und Dateigröße einer Bewerbung, das Austauschen der Unterlagen mittels Cloudanbietern gang und gäbe ist.

Dabei suchen sie sich bewusst eine schwächere Gruppen innerhalb der Organisationsstruktur heraus, um dann darüber das Computersystem zu infizieren: Mittels der Emails greift Petya Personalabteilungen und Personalfacharbeiter an, die sich in den Betrieben mit den Bewerbungen auseinandersetzen.

Es ist ziemlich offensichtlich, dass Kriminelle immer wieder versuchen, ein Einfallstor über die Abteilungen mit geringem technischem Hintergrund zu finden. Dazu zählt neben der HR-Abteilung unter anderem auch die Finanzabteilung, in der unbezahlte Rechnungen (logischerweise im Anhang) als Köder verwendet werden.

Man kann übrigens sehr gut verstehen, dass diese Organisationen nach einer geglückten Malware-Infizierung durchaus bereit sind, wesentlich mehr zu bezahlen als der Ottonormal-Benutzer. Bei Firmen geht es schließlich um viel Geld. Der Schaden kann zwar durch regelmäßige Backups eingedämmt, aber niemals völlig verhindert werden.

Seien Sie deshalb bitte jederzeit sehr vorsichtig, wenn es um Ihre Emails – und insbesondere um eingegangene Bewerbungen oder Mails mit verdächtig aussehendem Anhang – geht. Sollte eine dieser Mails auch noch auf Dropbox, MagentaCLOUD oder Jottacloud verlinken, dann sollten Sie die Alarmglocken läuten hören. Wenn Sie sich unsicher sind, holen Sie sich gegeben falls Rat von den IT-Experten Ihrer Firma oder schicken Sie die verdächtigen Inhalte direkt an uns, dem Virenlabor von Avira, wo wir diese Datei gerne für Sie analysieren: https://analysis.avira.com/de/submit

Dieser Artikel ist auch verfügbar in: Englisch

Team Leader Virus Lab Disinfection Service