Wenn der falsche Postmann klingelt: Gefälschte Interpol-Mails verteilen Ransomware
Wie Cyberkriminelle E-Mail-Filter aushebeln und gezielt den Mittelstand erpressen
Kleine und mittlere Unternehmen (KMU) stehen verstärkt im Fokus von Ransomware-Akteuren, die gezielt strukturelle Sicherheitsdefizite ausnutzen. Eine aktuelle, von den Bitdefender Labs dokumentierte Kampagne zeigt, wie Angreifer durch das Vortäuschen von Ermittlungen internationaler Strafverfolgungsbehörden und den bewussten Missbrauch legitimer Cloud-Infrastrukturen sowohl technische Barrieren als auch menschliche Kontrollmechanismen überwinden.
Der Angriffsvektor: Psychologischer Druck und getarnte Payloads
Die als Interpol-Ermittler auftretenden Cyberkriminellen kontaktieren gezielt kleinere Unternehmen in Europa, Asien, dem Nahen Osten und den USA. Die Branchenbandbreite der Opfer ist divers und reicht von der Finanz- und Pharmaindustrie über Kanzleien und Medienhäuser bis hin zum Technologie- und Agrarsektor. Unter dem Vorwand, vertrauliches Beweismaterial oder Videos zu angeblichen „verdächtigen Aktivitäten“ des betroffenen Unternehmens vorzulegen, erzeugen die Täter eine hohe psychologische Dringlichkeit, um Compliance-Ängste zu schüren.
Um die gängigen Secure E-Mail Gateways (SEGs) der Unternehmen zu umgehen, verzichten die Kriminellen auf direkte, bösartige E-Mail-Anhänge. Stattdessen leiten sie die Opfer über eingebettete Links auf legitime, verschlüsselte Cloud-Speicher wie Proton Drive um. Dort hinterlegen sie ein passwortgeschütztes Archiv; das Passwort wird in der Phishing-Mail direkt mitgeliefert. Durch diese Methode stufen automatisierte Sicherheitsfilter den Link häufig als unbedenklich ein. Die Ausführung der Schadsoftware erfolgt schließlich durch das Öffnen einer ausführbaren Datei (.exe), die optisch als harmlose Videodatei maskiert ist. Sofort nach dem Start initiiert die Malware die Verschlüsselung aller erreichbaren lokalen und Netzlaufwerke.
Die Ökonomie des Angriffs
Aus technischer Sicht stufen die Analysten von Bitdefender die eingesetzte Ransomware als rudimentär ein. Der Code enthält hartcodierte Werte sowie direkt hinterlegte Passwörter, die für die Ver- und Entschlüsselung verwendet werden. Er lässt sich bisher keiner der bekannten Ransomware-as-a-Service-Familien (RaaS) zuordnen, was auf eine individuelle Eigenentwicklung hindeutet.
Trotz der geringen technologischen Komplexität ist die Kampagne aufgrund ihrer ökonomischen Verhandlungsstrategie hocheffektiv. Die Angreifer fordern im ersten Schritt keine feste Lösegeldsumme. Stattdessen werden die Opfer dazu gedrängt, über den anonymen Peer-to-Peer-Messenger Tox direkte Verhandlungen aufzunehmen. Die Höhe des finalen Erpresserbetrags wird im Chat dynamisch an die Unternehmensgröße, die geschätzte Liquidität des Opfers sowie den taxierten Wert der verschlüsselten Daten angepasst.
Dieses Vorgehen spiegelt den aktuellen Strukturwandel in der Cybercrime-Ökonomie wider: Während Großkonzerne in den vergangenen Jahren massiv in Detektions- und Abwehrmöglichkeiten investiert haben und Lösegeldzahlungen zunehmend verweigern, weichen Angreifer auf den Mittelstand aus.
Marktdaten und Berichte von Cybersicherheitsbehörden bestätigen diesen Trend: Laut BKA richteten sich 80 Prozent der 950 ausgewerteten Ransomware-Angriffe gegen kleine und mittlere Unternehmen.
Da kleinere Betriebe seltener über redundante Notfallszenarien verfügen, ist ihre Bereitschaft zur Zahlung tendenziell höher – selbst wenn die geforderten Einzelsummen unter den Beträgen liegen, die bei Großkonzernen aufgerufen werden.
Strukturelle Defizite als Einfallstor
Dass technologisch simple Angriffe in B2B-Umgebungen Erfolg haben, liegt primär an strukturellen Defiziten in der IT-Organisation kleinerer Unternehmen. Häufig fehlen dedizierte IT-Sicherheitsteams; Security- und Compliance-Aufgaben werden von IT-Generalisten oder Mitarbeitern anderer Abteilungen im operativen Alltag mitverwaltet. Zudem existieren in vielen Betrieben keine standardisierten Prozesse (Incident Response Playbooks) oder Verifikationswege, um die Authentizität externer Behördenanfragen systematisch zu überprüfen. Das sogenannte „Authority Phishing“ hebelt so gezielt die menschliche Brandmauer aus.
Empfehlungen für die Enterprise-Praxis: Resilienz und Sofortmaßnahmen
Sollte ein System im Unternehmen kompromittiert worden sein, ist schnelles, methodisches Handeln zur Schadensbegrenzung erforderlich:
- Netzwerkisolierung: Das betroffene Endgerät muss umgehend vom lokalen Netzwerk (LAN/WLAN) und von sämtlichen VPN-Verbindungen getrennt werden, um eine Seitwärtsbewegung (Lateral Movement) des Schadcodes auf zentrale File-Server oder Backups zu verhindern. Das Gerät sollte jedoch nicht abgeschaltet werden, um flüchtige Daten im Arbeitsspeicher für die spätere IT-Forensik zu erhalten.
- Eskalation und Eindämmung: Die internen Systemadministratoren oder der zuständige Managed Service Provider (MSP) müssen sofort alarmiert werden, um das betroffene Segment logisch zu isolieren und einen vollständigen Sicherheits-Scan anzustoßen.
- Identitätsschutz: Die Passwörter aller Systeme, die potenziell mit dem infizierten Gerät in Berührung kamen, müssen von einem nachweislich sauberen System aus geändert und zwingend mit Multi-Faktor-Authentifizierung (MFA) abgesichert werden.
- Netzwerk-Monitoring: Der verbleibende Netzwerkverkehr ist kontinuierlich auf Anomalien oder unautorisierte ausgehende Verbindungen zu überprüfen.
Präventiv empfiehlt sich neben dem kontinuierlichen Patch-Management und der Implementierung von unveränderlichen Backups (Immutable Backups) vor allem die Etablierung klarer interner Richtlinien.
Unaufgeforderte E-Mails von Behörden oder Ermittlungsorganen dürfen grundsätzlich nicht über die mitgelieferten Links oder Anhänge bearbeitet werden. Eine Verifikation muss stets über offizielle, unabhängig recherchierte Kommunikationskanäle der jeweiligen Institution erfolgen.
Zudem sollten IT-Verantwortliche die Firewall- und E-Mail-Filterregeln so anpassen, dass der Zugriff auf anonyme P2P-Netzwerke wie Tox im Unternehmensnetzwerk standardmäßig blockiert wird.