06.10.2020
Zum sogenannten European Cybersecurity Month (ECSM) des BSI möchten wir an dieser Stelle auf ein - aus unserer Sicht - besonderes Produkt hinweisen. Im letzten Jahr wurde in Arbeitsgruppen die sogenannte IT-Notfallkarte erarbeitet. Ähnlich wie es im Bereich des Brandschutzes derartige Karten gibt, wurde dieses Exemplar entwickelt, um im IT-Notfall schnell den richtigen Ansprechpartner zur Hand zu haben.
Corona-Schutz am Arbeitsplatz - Bundesministerium für Gesundheit
09.09.2020 Wir beobachten seit heute Morgen eine neue Welle mit Schadsoftware, die angeblich vom Bundesministerium für Gesundheit per E-Mail versendet wird. Der Absender der Mail ist die Adresse poststelle@bundesministerium-gesundheit.com.
Die Mails haben den folgenden Aufbau:
Die schadhafte Datei mit dem Namen Arbeitsschutzregel-Corona-September.pdf.js befindet sich direkt im Anhang der E-Mail in einer ZIP-Datei mit dem Namen Bund-Arbeitsschutzregel-Corona-September-1.zip. Es handelt sich hierbei um den Downloader für eine Schadsoftware!
Verhaltenshinweise:
Öffnen/Doppelklicken Sie unter keinen Umständen die ZIP-Datei oder die JS-Datei im Anhang der Mail bzw. im ZIP-Archiv.
Sollten Sie die Datei dennoch geöffnet haben, lassen Sie ihren PC mit einer Anti-Viren-Software untersuchen.
Erstatten Sie Anzeige der der Polizei, am einfachsten über Ihre zuständige Onlinewache.
Sehr geehrte Damen und Herren, Die Gesundheitsministerinnen und -minister der EU haben sich heute zu den EU-weiten Regeln für Corona-Schutz am Arbeitsplatz ausgetauscht. Das Bundesministerium für Gesundheit hat eine neue offizielle Corona-Arbeitsschutzregel vorgelegt. Ab sofort gelten weitere verbindliche Regeln für Corona-Schutz am Arbeitsplatz. Wir bitten Sie, sich die neuen Regelungen gründlich durchzulesen und das Dokument der neuen Corona-Arbeitsschutzregeln umgehend für alle Mitarbeiter in Ihrem Betrieb verfügbar zu machen. Das Dokument der neuen Corona-Arbeitsschutzregeln finden Sie im Druckformat (A4) im Anhang dieser E-Mail. Sollten Sie Fragen haben, können Sie uns Ihre Nachricht gerne an poststelle@bmg.bund(dot)de senden.
08.07.2020
Zur Zeit wird vermehrt über Kontaktformulare auf Firmenwebseiten folgendes Erpresserschreiben versendet:
Betreff: Bitte leiten Sie diese E-Mail an jemanden in Ihrem Unternehmen weiter, der wichtige Entscheidungen treffen darf! Stichworte: Website, gehackt, extrahiert, Datenbank, Ruf, bitcoin
Wir berichteten bereits im Mai von dieser Art von Erpressung, diesmal sind die Texte jedoch in deutscher Sprache verfasst.
Auch hier ist der Wortlaut der Nachricht bis auf wenige Details (Betroffene Webseite, Absender und Bitcoin-Adresse) immer identisch.
Wir gehen wieder davon aus, dass es sich hierbei lediglich um einen vorgetäuschten Erpressungsversuch handelt, aber in diesem Zusammenhang keine Daten abgeflossen sind.
Unabhängig davon, ob hier eine technische Kompromittierung vorliegt, sollten Sie natürlich niemals einer solchen Forderung durch eine Zahlung nachkommen!
Sofern im Zusammenhang mit diesem Schreiben keine weiteren Hinweise auf ein Abfluss von Daten bei Ihnen vorliegen, können Sie diese Nachricht problemlos löschen oder natürlich wie alle anderen Betrugsmails auch, gerne an unsere Trojaner-E-Mail (trojaner@polizeilabor.de) weiterleiten.
Wenn Sie Anzeige erstatten möchten, suchen Sie Ihre örtliche Polizei-Dienststelle auf oder nutzen Sie, die für Ihr Bundesland zuständige Onlinewache. In Niedersachsen ist diese beispielsweise unter Onlinewache Polizei Niedersachsen erreichbar.
Die Entscheidung, Ihr Unternehmen aufgrund von Covid-19 zu schließen
09.06.2020
Wir beobachten momentan eine neue Welle mit Schadsoftware, die angeblich von der Bundesregierung per E-Mail versendet wird. Der Absender der Mail ist die Adresse information@germany-government.eu. Die Mails haben den folgenden Aufbau:
Die schadhafte Datei ist auf Microsofts Clouddienst OneDrive hinterlegt:
Es handelt sich zunächst um ein RAR-Archiv, darin enthalten ein ZIP-Archiv mit 3 Dateien:
Bei der ausführbaren Datei handelt es sich unserer Einschätzung nach um einen Verschlüsselungstrojaner:
Klicken Sie nicht auf den Link, laden Sie nicht das Archiv von OneDrive herunter und führen Sie unter gar keinen Umständen die EXE-Datei aus!
Aufgrund der aktuellen Bedingungen unseres Landes aufgrund von Covid-19 haben wir beobachtet und berichtet, dass Ihr Unternehmen die Bedingungen nicht erfüllt. Bitte schließen Sie Ihr Unternehmen innerhalb von 48 Stunden und öffnen Sie es erst, wenn wir Sie erneut anweisen. Andernfalls werden Sie für einen hohen Betrag verurteilt und mit einer Geldstrafe belegt. Ein Dokument, aus dem hervorgeht, dass Ihr Arbeitsplatz von unserem Expertenteam nicht geeignet ist, ist beigefügt. Beachtung! Da das angehängte Dokument für Sie bestimmt ist, lassen Sie bitte alle Antivirenprogramme und Windows Defender, falls verfügbar. Andernfalls können Sie das Dokument nicht anzeigen.
03.06.2020 Update vom 03.06.2020: Artikel aktualisiert, ursprünglicher Artikel war vom 20.05.2020. Update vom 27.05.2020: In dem vorherigen Artikel war ein Bezug zu Emotet hergestellt worden, dieser ist nach Informationen des BSI nicht gegeben. Bei uns mehren sich Hinweise darauf, dass eine neue Schadsoftware-Welle gerade beginnt. Wie schon von anderen Kampagnen aus der Vergangenheit bekannt geworden, werden auch hier E-Mails als Antworten in bestehender Kommunikation versendet. Die versendeten E-Mails enthalten einen kurzen Text und einen Link zum Download einer ZIP-Datei, getarnt als Darlehensvertrag:
Beispiel für diese Art von Mails:
Es ist dieser Bericht, den Sie gebraucht haben. Wenn ich etwas verpasst habe, müssen Sie sich bei mir melden. Es ist unten angehängt. Hoffentlich von meiner Seite ist alles gut.
Sie müssen sich diese Berechnungen ansehen und überprüfen, ob sie korrekt sind. Benachrichtigen Sie mich über etwaige Inkonsistenzen.
Hier ist die Datei. Stellen Sie sicher, dass Sie es durchsehen. Bitte lassen Sie mich wissen, wie ist Ihre Meinung dazu.
Die ZIP-Dateien enthalten jeweils ein Skript, das bei Ausführung die Schadsoftware QuakBot herunterlädt.
Es gibt auch Anzeichen dafür, dass der Verschlüsselungstrojaner ProLock in bestimmten Fällen von QakBot nachgeladen wird.
Wenn Sie als Firma oder Behörde eine solche Mail empfangen und geöffnet haben, sollten Sie sich umgehend mit Ihrem IT-Dienstleister in Verbindung setzen.
Setzen Sie auch ggf. den Absender der E-Mails darüber in Kenntnis, dass sein IT-System kompromittiert sein könnte.
Angeblicher Lieferschein per E-Mail von DHL - gefährliche Makros!
13.05.2020
Aktuell werden E-Mails versendet, die angeblich von DHL kommen. Im Anhang der Mail befindet sich eine Excel-Tabelle mit einem Makro. Wird dieses aktiviert, installiert sich eine Schadsoftware auf Ihrem Rechner. Löschen Sie die E-Mail und öffnen Sie nicht den Anhang der E-Mail.
Beispiel für diese Art von Mails:
[DHL: 5102742018]: RE: Lieferschein
Sehr geehrter Kunde, Ihr Paket ist kürzlich in unserem Zentrum angekommen, aber wir können die Lieferadresse nicht finden. Hier finden Sie das registrierte Kontaktformular, den Lieferschein und die Zahlungsdetails der Fluggesellschaft. Geben Sie die uns gegebene Kontaktnummer ein und senden Sie sie uns. Wir freuen uns von Ihnen zu hören.
Grafik nach dem Öffnen der Excel-Tabelle:
Achtung: Erst das Aktivieren der aktiven Inhalte (Makros) führt zur Infektion! Sie sollten die Excel-Tabelle trotzdem NICHT öffnen! Das Makro ist in einem versteckten Tabellenblatt verborgen.
Die Schadsoftware wird u.a. von den folgenden Adressen runtergeladen:
hXXp://putin-malwrhunterteams.com/scan.txt
hXXp://paste.ee/r/e49u0
hXXp://paste.ee/r/dlOMz
Danach erfolgt der Versuch einer Kontaktaufnahme mit der IP-Adresse 185.140.54.48 auf Port 7707. Das System ist allerdings momentan nicht erreichbar, so dass weitere Analysen zur Zeit nicht durchgeführt werden können.
Derzeit erhöhtes Aufkommen von Erpressungsschreiben per Kontaktformular
12.05.2020
Zur Zeit wird vermehrt über Kontaktformulare auf Firmenwebseiten folgendes Erpresserschreiben versandt:
Betreff: PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS! Stichworte: website, hacked, extracted, databases, leaked, reputation, bitcoin
Der Wortlaut der Nachricht ist bis auf wenige Details (Betroffene Webseite, Absender und Bitcoin-Adresse) immer identisch. Es werden im Zusammenhang mit dieser E-Mail keine Beweise für eine tatsächliche Kompromittierung der Seite genannt und in bestehenden Fällen deutet bisher auch nichts darauf hin.
Daher gehen wir derzeit davon aus, dass es sich hierbei lediglich um einen versuchten Erpressungsversuch handelt, aber in diesem Zusammenhang keine Daten abgeflossen sind.
Unabhängig davon, ob hier eine technische Kompromittierung vorliegt, sollten Sie natürlich niemals einer solchen Forderung durch eine Zahlung nachkommen!
Sofern im Zusammenhang mit diesem Schreiben keine weiteren Hinweise auf ein Abfluss von Daten bei Ihnen vorliegen, können Sie diese Nachricht problemlos löschen, oder natürlich wie alle anderen Betrugsmails auch, gerne an unsere Trojaner E-Mail (trojaner@polizeilabor.de) weiterleiten.
Wenn Sie Anzeige erstatten möchten, können Sie das bei Ihrer örtlichen Dienststelle, oder Online unter: Onlinewache Polizei Niedersachsen tun.
Vorsicht: Angebliche Mails der NBank - corona-zuschuss@nbank.de.com
04.05.2020
Seit heute Morgen werden im Namen der NBank E-Mails versendet, in den aufgefordert wird eine Rückzahlung von zu viel erhaltenen Fördergeldern vorzunehmen. Die Absenderadresse der Mails lautet in Niedersachsen corona-zuschuss@nbank.de.com.
Auch in anderen Bundesländern werden derartige Mails versendet, u.a. mit diesen Absendern:
corona-zuschuss@nrw.de.com
corona-zuschuss@ib-sachsen-anhalt.de.com
corona-zuschuss@ifbhh.de.com
corona-zuschuss@l-bank.de.com
corona-zuschuss@stmwi-bayern.de.com
corona-zuschuss@aufbaubank.de.com
corona-zuschuss@hessen.de.com
corona-zuschuss@rlp.de.com
Es wird eine Drohkulisse hinsichtlich eines Straftatbestandes aufgebaut und zur Kontaktaufnahme aufgefordert.
Aufbau der Mails (Beispiel):
Auch wenn Rückzahlungen ggf. erforderlich sind: Diese Mails stammen nicht von den vorgegebenen Stellen! Nehmen Sie keinen Kontakt mit den Tätern unter der o.g. E-Mailadresse auf und füllen Sie nicht die angehängten PDF-Formulare aus!
Betrüger nutzen falsche COVID-19 Soforthilfeanträge um an Ihre Unternehmensdaten zu kommen
30.03.2020
Aktuell konnte durch unsere Kolleginnen und Kollegen aus dem Landeskriminalamt Baden-Württemberg festgestellt werden, dass derzeit vermehrt versucht wird, mittels angeblicher Soforthilfeanträge im Zusammenhang mit COVID-19 an Daten von Unternehmen zu kommen.
Hierfür werden Firmen auf gefälschte Internetseiten gelockt, um dort die notwendigen Unternehmensdaten einzugeben. Die Betrugsseiten versprechen dort häufig eine besonders schnelle Auszahlung oder hohe Summen die ohne Rückzahlung genehmigt werden.
Teilweise wurden auch Unternehmen gezielt telefonisch kontaktiert und explizit auf die betrügerischen Seiten verwiesen. Die Betrüger geben sich hierbei als Angehörige der offiziellen Stelle zur Abwicklung der Soforthilfe aus.
Das Vortäuschen eine offizielle Stelle zu sein, um so an sensible Daten zu kommen, welche für weitere Straftaten genutzt werden können, ist eine häufig genutzte Strategie. Wie es diese Meldung zeigt, machen die Betrüger leider auch nicht vor der aktuellen Lage halt.
Daher ist es auch in solch angespannten Zeiten wichtig folgende Ratschläge zu beherzigen:
Falls Sie Soforthilfe beantragen möchten, wenden Sie sich hierfür ausschließlich an die offiziellen Stellen. In diesem Fall sind dass die Ministerien und Landesförderbanken mit Unterstützung der Industrie- und Handelskammern.
Diese Stellen verschicken unaufgefordert keine Anträge.
Wenn Sie unaufgefordert von einer offiziellen Stelle kontaktiert werden, geben Sie keine sensiblen Daten preis. Um die Authentizität des Anrufers zu überprüfen, notieren Sie sich den Namen und rufen zurück. Wichtig hierfür ist, dass Sie sich nicht auf die angezeigte Anrufernummer verlassen, sondern die Erreichbarkeiten über einen alternativen Weg recherchieren.
Im Zweifel fragen Sie gerne bei uns oder der für Ihr Bundesland zuständigen Zentralen Ansprechstelle Cybercrime nach.
Zentrale Ansprechstelle Cybercrime für die Wirtschaft weiterhin erreichbar!
20.03.2020
Auch wenn alle Veranstaltungen mit Außenkontakt abgesagt wurden, stehen wir weiterhin telefonisch unter 0511 - 26 26 2 3804 oder gerne via E-Mail unter zac@lka.polizei.niedersachsen.de für Ihre Fragen und Probleme zur Verfügung.
