Verschlüsselungstrojaner tarnt sich als Bewerbung

Die Erpressungs-Software „Cerber“ (auch: „Zerber“) attackiert derzeit zahlreiche Unternehmen mit sehr authentisch erscheinenden, deutschsprachigen Bewerbungs-E-Mails. Die von Cyberkriminellen manipulierte E-Mail ist sehr gut getarnt. Sie kommt unter anderem von einer Adresse eines großen deutschen Providers mit real klingenden Absendernamen, enthält keine Rechtschreib- oder Grammatikfehler und weist inhaltlich auf die Bewerbungsunterlagen im Anhang hin. Der Anhang enthält eine ZIP-Datei, die ein Word-Dokument beinhaltet. Wird die Word-Datei mit aktivierten Makros geöffnet, können auf dem Rechner gespeicherte Daten verschlüsselt und mit der Dateiendung „.cerber“ versehen werden.

Analysen des IT-Sicherheitsunternehmens Kaspersky Lab zufolge steigen die Cerber-Attacken seit Anfang Mai 2016 kontinuierlich an – mit zwei größeren Angriffswellen Ende Mai beziehungsweise Anfang Juni. Weltweit am häufigsten werden laut Kaspersky Lab die Länder USA, Großbritannien und Deutschland von Cerber attackiert. Jüngst gab es hierzu deutschlandweit Warnungen der Polizei – beispielsweise in Nordrhein-Westfalen, Niedersachsen und Rheinland-Pfalz. Mehrfach wurden offenbar mittelständische Unternehmen aus verschiedenen Bereichen Opfer von Cerber.

Digitale Erpressung

„Kurz nach der Infektion bekommt das Opfer eine Lösegeldforderung angezeigt, zur sofortigen Zahlung via Bitcoin – im Gegenwert von etwa 440 Euro“, weiß Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. „Zudem haben wir festgestellt, dass die von den Cyberkriminellen genutzten Server im Tor-Netzwerk verborgen sind.“ Kaspersky Lab rät davon ab, das geforderte Lösegeld zu bezahlen. Stattdessen sollten bei digitalen Erpressungsversuchen die Strafverfolgungsbehörden eingeschaltet werden.

Verdächtige Mail im Posteingang – was tun?

Kaspersky warnt davor, keine E-Mail-Anhänge von unbekannten Absendern zu öffnen – selbst dann nicht, wenn die E-Mail sonst keine Anzeichen für einen Cyberangriff enthält. Computernutzer sollten außerdem regelmäßig Backups erstellen, damit man im Ernstfall wieder auf die unverschlüsselten Daten zurückgreifen kann. Betriebssystem, Browser und alle weiteren genutzten Programme sollten immer mit den aktuell verfügbaren Patches auf den neuesten Stand gebracht werden. Antivirenschutzlösungen wie „Kaspersky Small Office Security“ schützen vor einer Infizierung. Die Antivirus-Software erkennt und blockiert sämtliche bekannten Modifikationen von Cerber/Zerber als „Trojan-Ransom.Win32.Zerber“.