Derzeit greifen Cyberkriminelle gezielt Personalabteilungen in Deutschland mit einer Variante der Sodinokibi-Ransomware an. Seit dem 16. Juli verschicken Angreifer entsprechende Mails, die angeblich Bewerbungen enthalten. Als Namen der vermeintlichen Bewerberinnen sind derzeit Sandra Schneider, Sabine Lerche und Martina Peters im Umlauf.
Bei schnelllebigen Ransomware-Kampagnen ist allerdings zu erwarten, dass sich die verwendeten Namen schnell ändern, um den Erfolg der Angriffe zu erhöhen. Ransomware wird immer wieder über zum Teil professionell aussehende Bewerbungen verteilt, mittlerweile sogar häufig auf konkret bei einem Unternehmen ausgeschriebene Stellen.
G DATA Sicherheitsexperte Karsten Hahn sagt dazu: „Die Sodinokibi-Ransomware hat sich in kurzer Zeit zu der fünfthäufigsten Ransomware-Familie entwickelt. Offenbar verwendet das Team dahinter die gleiche Taktik bei der Verbreitung der Spam-Mails wie zuvor bei GandCrab.“ Die Erpresser fordern einen Betrag von 0,16 Bitcoin. Das entspricht derzeit in etwa 1300 Euro. Nach einer Woche verdoppelt sich der zu zahlende Betrag.
Die Sodinokibi-Ransomware ist erst seit kurzer Zeit aktiv. Die Cyberkriminellen verwenden derzeit die gleiche Infrastruktur wie die Macher hinter dem Verschlüsselungstrojaner GandCrab. Diese hatten unlängst angekündigt, sich aus dem Geschäft zurückziehen zu wollen.
G DATA Kunden werden durch mehrere Technologien vor dem Angriff geschützt. Mittels der KI-Technologie DeepRay kann der deutsche Cyber Defense Anbieter mit Packern nur leicht veränderte Malware-Samples schnell aufspüren und unschädlich machen. Mit DeepRay konnten bereits zahlreiche Samples der Malware aufgespürt werden. Das Anti-Ransomware-Modul bietet einen zusätzlichen Schutz. Es springt ein, wenn ohne ersichtlichen Grund Dateien auf der Festplatte verschlüsselt werden sollen und stoppt die Infektion.