Aktuelle Sicherheitswarnung des CERT-Nord

Bitte beachten Sie die anliegende Warnmeldung des CERT-Nord. Aktuell gehen auch gefälschte E-Mails mit Absenderadressen von Kolleginnen und Kollegen der KLV um. Diese sind eindeutig als nicht dienstlich identifizierbar. Bitte warnen Sie Ihre  Kolleginnen und Kollegen vor einem Anklicken des beigefügten Links. Idealerweise stellen Sie auch sicher, dass kein unbekannter ausführbarer Code gestartet werden kann (keine Adminrechte für Nicht-Administratoren, nur signierte Makros ausführen, AppBlocker einsetzen.

Warn- und Informationsdienst des CERT Nord

——————————————————-

Verteiler:  Informationssicherheitsbeauftragte der Behörden und Institutionen und der Dienstleister

Vertraulichkeit: TLP Green

 

Thema: Erneut wird wieder gehäuft Malware per Email verbreitet. Wie in der Vergangenheit werden Absender vorgetäuscht, die aus der gleichen oder einer bekannten Behörde kommen oder in Beziehung zum Empfänger stehen.

Die Mail enthält einen Link zu Schadcode. Dieser Link lädt ein Word-Dokument herunter, welches tlw. ein Makro ausführt, welches wiederum weiteren Schadcode herunterlädt.

 

Kategorie:

[ ] Alarm              (konkrete Bedrohung, sofortige Maßnahmen sind zu ergreifen)

[x] Warnung      (potenzielle Bedrohung, Maßnahmen sind möglichst bald zu ergreifen)

[ ] Ratschlag       (wichtige Information, das Ergreifen von Maßnahmen ist wünschenswert)

[ ] Information  (allgemeine Information, ggf. ohne Maßnahmenhinweis)

 

Risikobeurteilung des CERT Nord:

[ ] kritisch

[x] hoch

[ ] mittel

[ ] niedrig

[ ] kein

[ ] Beurteilung (noch) nicht möglich

 

Relevanz:

[x] hoch relevant            (die meisten Behörden und Institutionen sind potenziell betroffen)

[ ] relevant                        (einige Behörden und Institutionen sind potenziell betroffen)

[ ] eventuell relevant    (einzelne Behörden oder Institutionen können betroffen sein)

[ ] (noch) nicht einschätzbar

 

betroffene Produkte:

Rechner mit Windows.

 

Angriffsvektor:

[x] Netzwerk von extern (Email mit Link)

[ ] lokales Netzwerk

[ ] System lokal

 

Bedrohung:

Zur Zeit gibt es eine Welle mit kurzen Emails, die Links auf angebliche Rechnungen oder Scans enthalten.  Betreffs und Texte wechseln, im From- Feld wird oft ein vermutlich in Bezug zum Empfänger stehender (deutscher) Absender genannt, obwohl die Emails technisch gesehen von ganz anderen, ausländischen Servern kommen.

Nach Klick auf dem Link wird ein bekannter Banking-Trojaner (EMOTET) heruntergeladen. Der Schädling hat explizit CHIP-TAN- und SMS-TAN-Nummern und das Geld von deutschsprachigen Bankkunden im Visier. Emotet wird über täuschend echt aussehende Spam-Mails verbreitet und bringt Anwender mittels Social-Engineering-Methoden dazu, sensible Bankdaten für eine angebliche Sicherheitsüberprüfung preiszugeben. Die abgefischten TAN-Nummern werden anschließend von den Cyberkriminellen für eine betrügerische Überweisung missbraucht. Die hochautomatisierte, modular aufgebaute und sich ständig weiter entwickelnde Cyberbedrohung ist speziell auf Kunden von Banken in Deutschland, Österreich und neuerdings in der Schweiz zugeschnitten, und treibt weiter ihr Unwesen.

Im Betreff steht häufig „Rechnungs-Details xxx“ , „gescanntes Dokument xxx“ oder „Scan xxx“, allerdings sind auch andere Varianten bekannt.

 

Empfohlene Maßnahmen:

Eine Sensibilisierung der Anwender wird empfohlen. Anwender sollten auf keinem Fall den Link in den betreffenden Mails ausführen. Microsoft Applocker sollte aktiviert sein.

 

Nähere Informationen:

Information vom Bundesamt für Sicherheit in der Informationstechnik BSI / CERTBUND auf Twitter:

https://mobile.twitter.com/certbund/status/909740525128908801?p=v

 

 

Referenzen:

keine