Waiblingen

Erpresser-Trojaner versteckt im E-Mail-Anhang

Cybercrime_0
Symbolbild. © Ramona Adolf

Waiblingen/Aalen. Er kommt harmlos daher, als Rechnung im E-Mail-Anhang, seine schädigende Wirkung ist enorm. Sobald der Anhang geöffnet wird, geht ein Trojaner ans Werk. Fünf Unternehmen können ein Klagelied davon singen.

Fünf Unternehmen in den Landkreisen Rems-Murr, Ostalb und Schwäbisch Hall haben bei der Polizei am Montag und am Dienstagmorgen Angriffe auf ihre IT-Systeme angezeigt. Gegen 15 Uhr begann am Montag bei allen eine Schadsoftware systematisch Dateien zu verschlüsseln und schließlich mit Erpressungsversuchen, erst nach einer Geldzahlung die Dateien wieder zu entschlüsseln. Die Schadsoftware, ein Trojaner, war in Mail-Anhängen versteckt. „In diesen Fällen waren es Rechnungen als Word-Anhang. Möglich sind aber alle Dateiformate. Die Dateien enthalten Makros, die nach dem Öffnen die Schadsoftware zum Laufen bringen“, erläuterte Kriminalhauptkommissar Fabian Jäger von der Kriminalinspektion Cybercrime und digitale Spuren in Waiblingen. Das Perfide: Text und Anmutung der Mails sind harmlos, die mutmaßlichen Absender zum Teil sogar angeblich bekannte Firmen. Freilich buchstäblicher Betrug von vorne bis hinten.

Wer die Rechnungen öffnet, bekommt nur Datensalat zu sehen. „So mancher wird wohl denken, was ist das für ein Quatsch und wird die Datei wieder schließen oder löschen, aber im Hintergrund hat der Trojaner dann schon längst angefangen zu wirken“, so Jäger. Der Trojaner verschlüsselt Schritt für Schritt Dateien auf Computern und Speichersystemen und hinterlässt an ihrer Statt unlesbare Dateien mit dem Endkürzelchen „.locky“ – der Name stammt wohl vom englischen to lock, verschließen. „Betroffen von der Verschlüsselung sind alle möglichen Dateiformate: PDF, Word, Bilder, Videos, MP3“, so Jäger.

Insgesamt seien Dateien mit über 150 Endungen betroffen, berichtete die Plattform heise.de/security. „Möglicherweise schlummerte Locky eine Weile auf den infizierten Rechnern, ehe es zentral den Befehl bekam, das digitale Hab und Gut der Opfer zu verschlüsseln: Ein Leser berichtet uns, dass der Schädling bei mehreren seiner Kunden, die er als IT-Dienstleister betreut, am Montag um 15:06 zugeschlagen hat. Dahinter könnte durchaus System stecken: Die Täter hatten so die Möglichkeit, ihre bis dato unbekannte Schadsoftware auf möglichst viele Rechner zu verteilen, ehe sie zuschlagen“, so heise.de. Cybercrime-Ermittler Jäger kann diesen Schläfermodus des Trojaners nicht bestätigen. „Bei den uns angezeigten Fällen ging’s nach Öffnen des Mail-Anhangs sofort los.“

Als einzig lesbare Datei bleibt auf den befallenen Rechnern nur das Erpresserschreiben zurück: Folgt man den Anweisungen in dieser Datei, gelangt man schließlich zu einer Seite im stark verschlüsselten und nicht rückverfolgbaren Tor-Netz, auf der man für die angebliche Entschlüsselung der Dateien zur Zahlung von einem Bitcoin, einer virtuellen Währung, aufgefordert wird. Zurzeit entspricht die Forderung einem Gegenwert von rund 360 Euro. Die Polizei rät dringend, auf keinen Fall auf die Geldforderungen einzugehen. Bei der Polizei ist bisher bei ähnlichen Angriffen auf Computerdaten kein einziger Fall bekannt, bei denen bei Bezahlungen der geforderten Summe die Daten wieder entschlüsselt werden konnten. Das Bundesamt für Sicherheit in der Informationstechnik teilt diese Auffassung.

„Bei einigen der Firmen führte die Datenverschlüsselung zu nicht unerheblichen Arbeitsausfällen. Die Schäden für die Systemausfälle und Wiederherstellung der Systeme sind in den betroffenen Firmen sehr unterschiedlich, können aber schnell bis deutlich in den fünfstelligen Bereich gehen“, so die Mitteilung des Polizeipräsidiums Aalen.

Locky kursiert schon länger weltweit, greift nach bisherigen Erkenntnissen nur Windows-Betriebssysteme an, zum Beispiel auch durch eine Sicherheitslücke im Flash Player. „Es ist sehr schwierig, die Urheber des Trojaners zu finden und die Mails zu einem Server zurückzuverfolgen“, sagt Fabian Jäger. Heise.de will als einen Server, mit dem Locky kommuniziert, einen des russischen Anbieters Makhost identifiziert haben.

Sollten noch weitere Unternehmen betroffen sein, werden diese gebeten, sich bei der Kriminalpolizeidirektion Waiblingen unter ) 0 71 51 / 95 05 90 zu melden. Zur Vorbeugung von Schäden durch Angriffe auf IT-Systeme von Firmen rät die Polizei:

  • Halten Sie Ihre IT-Systeme auf den neuesten Stand.
  • Sichern Sie Ihre Daten regelmäßig in getrennten Backup-Systemen.
  • Sensibilisieren Sie ihre Mitarbeiter, insbesondere bezüglich des Öffnens von Dateianhängen von E-Mails.
  • Seien Sie restriktiv mit der Vergabe von Rechten im IT-System.