InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Momentan untersucht das InfoGuard CSIRT zahlreiche Ransomware-Angriffe auf Schweizer Unternehmen. Dabei stellten wir bei vielen Fällen dieselbe initiale Infektion fest – ein Phishing-Mail mit dem bekannten Pakettrick. Unser CSIRT informiert Sie aus diesem Grund in diesem Blogbeitrag über die aktuellen Erkenntnisse.
Das InfoGuard CSIRT untersuchte in den letzten Wochen mehrere Betrugsfälle. Diese basieren alle auf einem initialen Phishing-Mail mit welchem eine Paket- oder Briefzustellung zudem per Telefonanruf angekündigt wird – nachfolgend eine Abbildung des realen Phishing-Mails:
Bereits im Dezember hatte die Kantonspolizei Zürich auf cybercrimepolice.ch über einen E-Banking Trojaner informiert, welcher vorab per Telefon angekündigt wird. Dabei ruft eine Computerstimme mit Ostblockakzent an und fordert meist den Gesprächspartner auf, ein E-Mail zu öffnen und eine Software zu installieren. In dieser muss dann eine Schaltfläche betätigt werden, um die Zustellung des Pakets oder des Briefs zu gewährleisten. Im Hintergrund wird aber ein E-Banking Trojaner heruntergeladen, mit welchem Finanztransaktionen des Unternehmens ausspioniert werden können:
Was wir nun vermehrt bei Angriffen auf Unternehmen feststellen, die Angreifer sprechen auch perfekt Deutsch. Zudem belassen sie es nicht mehr nur bei der Installation des Trojaners, sondern entwenden im grossen Stil Daten, verschlüsseln anschliessend die Daten und Systeme des betroffenen Unternehmens und fordern dann ein entsprechendes Lösegeld (Ransomware).
Bei den von unserem CSIRT untersuchten Fällen betrug die Zeitspanne zwischen dem ersten E-Mail und der finalen Verschlüsselung der Daten 2-3 Wochen.
Wir empfehlen Ihnen daher dringend, dass Sie Ihre Mitarbeitenden vor solchen Phishing-Mails warnen. Nutzen Sie dazu auch gerne unser kostenloses Phishing-Poster mit den wichtigsten Merkmalen und Tipps zur Erkennung von solchen Betrugsversuchen!
Fragen Sie Ihre Mitarbeitenden konkret, ob ihnen der Screenshot bekannt vorkommt oder ob sie komische Telefone zwecks Paketzustellung erhalten haben.
Weiter empfehlen wir Ihnen die Systeme nach folgenden Indikatoren zu untersuchen:
Falls Sie einen oder mehrere Indikatoren feststellen, empfehlen wir Ihnen:
Das InfoGuard CSIRT unterstützt Sie bei der Suche nach Spuren eines Cyberangriffs in Ihrer Infrastruktur. Mit unserem Compromise Assessment decken wir Breaches in Ihrer gesamten Umgebung auf – und nicht nur jene der geschilderten Ransomware-Angriffen.
Bei einem solchen Cyberangriff ist es entscheidend schnell und professionell zu handeln. Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier: