An E-Mails angehängte Erpressungstrojaner stellen für Unternehmen schon lange eine Gefahr dar. Eine aktuelle Variante verdient besondere Aufmerksamkeit: Im Gegensatz zu vielen anderen Trojanern ist sie kaum zu erkennen.

Der sich momentan rasant ausbreitende Erpressungstrojaner zeichnet sich durch ein hohes Maß an Professionalität aus: Das gilt in inhaltlicher, stilistischer und technischer Hinsicht. Die Cyberkriminellen tarnen ihn als Stellenbewerbung, der angebliche Bewerber bezieht sich auf eine Stellenausschreibung über die Bundesagentur für Arbeit. Die Betreffzeile lautet “Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif”. Als Namen können dort auch “Caroline Schneider”, “Peter Schnell” und “Viktoria Henschel” stehen.

Den E-Mail-Text haben die Cyberkriminellen perfekt verfasst: Sie haben ihn in einem guten Deutsch geschrieben, inhaltlich erfüllt er ebenfalls die Anforderungen an ein hochwertiges Anschreiben. In Zeiten des Fachkräftemangels dürften sich viele Firmen freuen, solche E-Mails zu erhalten. In den angehängten Bewerbungsunterlagen lauert dann die böse Überraschung in Form der Ransomware GandCap. Die Kriminellen greifen hierbei zu einem weiteren raffinierten Trick, sie schützen den Anhang mit einem Passwort. Dieses nennen die vermeintlichen Bewerber im E-Mail-Text und argumentieren, dass sie so den Zugriff Unbefugter auf die persönlichen Daten verhindern wollen.

Der einzige Grund liegt darin, dass viele Sicherheitsprogramme nicht auf verschlüsselte RAR-Archive zugreifen können. Entsprechend entdecken sie den Erpressungstrojaner nicht. Klicken Mitarbeiter den Anhang an, geben das Passwort ein und öffnen eine PDF-Datei, beginnt die Infektion. Der Trojaner breitet sich an Arbeitsplatz-Computern und im Firmennetzwerk aus und verschlüsselt nach und nach Programme. Gewöhnlich klicken Computer-Erfahrene nicht auf eine solche exe-Datei, in diesem Punkt greifen die Betrüger zu einem weiteren Kniff: Sie bezeichnen die Datei als “Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf” und suggerieren damit, dass es sich um eine PDF-Datei handelt. Das Erkennen fällt schwer, weil Windows in der Standardeinstellung bekannte Dateiendungen nicht anzeigt.

Der dringende Tipp: keine Anhänge öffnen und diese E-Mails löschen!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den aktuellen Erpressungstrojaner zum Anlass genommen, um Unternehmen eindringlich vor diesem wirtschaftlichen Risiko zu warnen. Es empfiehlt systematische Gegenmaßnahmen. Dazu gehören die Sensibilisierung von Mitarbeitern und eine schnelle Information über besonders gefährliche Ransomwarewie in diesen Tagen. Das BSI rät auch dazu, das verwendete Sicherheitssystem zu überprüfen. Bestenfalls kann es ein Passwort aus einem E-Mail-Text herauslesen, mit diesem eine verschlüsselte Datei öffnen und auf Trojaner zu durchsuchen.