Wenn der falsche Postmann klingelt: Gefälschte Interpol-Mails verteilen Ransomware

Wie Cyberkriminelle E-Mail-Filter aushebeln und gezielt den Mittelstand erpressen

Bild: Getty Images / Credits: overlaytamplate, bearbeitet

Kleine und mittlere Unternehmen (KMU) stehen verstärkt im Fokus von Ransomware-Akteuren, die gezielt strukturelle Sicherheitsdefizite ausnutzen. Eine aktuelle, von den Bitdefender Labs dokumentierte Kampagne zeigt, wie Angreifer durch das Vortäuschen von Ermittlungen internationaler Strafverfolgungsbehörden und den bewussten Missbrauch legitimer Cloud-Infrastrukturen sowohl technische Barrieren als auch menschliche Kontrollmechanismen überwinden.

Der Angriffsvektor: Psychologischer Druck und getarnte Payloads

Die als Interpol-Ermittler auftretenden Cyberkriminellen kontaktieren gezielt kleinere Unternehmen in Europa, Asien, dem Nahen Osten und den USA. Die Branchenbandbreite der Opfer ist divers und reicht von der Finanz- und Pharmaindustrie über Kanzleien und Medienhäuser bis hin zum Technologie- und Agrarsektor. Unter dem Vorwand, vertrauliches Beweismaterial oder Videos zu angeblichen „verdächtigen Aktivitäten“ des betroffenen Unternehmens vorzulegen, erzeugen die Täter eine hohe psychologische Dringlichkeit, um Compliance-Ängste zu schüren.

Um die gängigen Secure E-Mail Gateways (SEGs) der Unternehmen zu umgehen, verzichten die Kriminellen auf direkte, bösartige E-Mail-Anhänge. Stattdessen leiten sie die Opfer über eingebettete Links auf legitime, verschlüsselte Cloud-Speicher wie Proton Drive um. Dort hinterlegen sie ein passwortgeschütztes Archiv; das Passwort wird in der Phishing-Mail direkt mitgeliefert. Durch diese Methode stufen automatisierte Sicherheitsfilter den Link häufig als unbedenklich ein. Die Ausführung der Schadsoftware erfolgt schließlich durch das Öffnen einer ausführbaren Datei (.exe), die optisch als harmlose Videodatei maskiert ist. Sofort nach dem Start initiiert die Malware die Verschlüsselung aller erreichbaren lokalen und Netzlaufwerke.

Image
Description
Post von "Interpol" mit Malware von Unbekannt (Bildquelle: Screenshot Bitdefender)

Die Ökonomie des Angriffs

Aus technischer Sicht stufen die Analysten von Bitdefender die eingesetzte Ransomware als rudimentär ein. Der Code enthält hartcodierte Werte sowie direkt hinterlegte Passwörter, die für die Ver- und Entschlüsselung verwendet werden. Er lässt sich bisher keiner der bekannten Ransomware-as-a-Service-Familien (RaaS) zuordnen, was auf eine individuelle Eigenentwicklung hindeutet.

Trotz der geringen technologischen Komplexität ist die Kampagne aufgrund ihrer ökonomischen Verhandlungsstrategie hocheffektiv. Die Angreifer fordern im ersten Schritt keine feste Lösegeldsumme. Stattdessen werden die Opfer dazu gedrängt, über den anonymen Peer-to-Peer-Messenger Tox direkte Verhandlungen aufzunehmen. Die Höhe des finalen Erpresserbetrags wird im Chat dynamisch an die Unternehmensgröße, die geschätzte Liquidität des Opfers sowie den taxierten Wert der verschlüsselten Daten angepasst.

Dieses Vorgehen spiegelt den aktuellen Strukturwandel in der Cybercrime-Ökonomie wider: Während Großkonzerne in den vergangenen Jahren massiv in Detektions- und Abwehrmöglichkeiten investiert haben und Lösegeldzahlungen zunehmend verweigern, weichen Angreifer auf den Mittelstand aus.

Marktdaten und Berichte von Cybersicherheitsbehörden bestätigen diesen Trend: Laut BKA richteten sich 80 Prozent der 950 ausgewerteten Ransomware-Angriffe gegen kleine und mittlere Unternehmen.

Da kleinere Betriebe seltener über redundante Notfallszenarien verfügen, ist ihre Bereitschaft zur Zahlung tendenziell höher – selbst wenn die geforderten Einzelsummen unter den Beträgen liegen, die bei Großkonzernen aufgerufen werden.

Strukturelle Defizite als Einfallstor

Dass technologisch simple Angriffe in B2B-Umgebungen Erfolg haben, liegt primär an strukturellen Defiziten in der IT-Organisation kleinerer Unternehmen. Häufig fehlen dedizierte IT-Sicherheitsteams; Security- und Compliance-Aufgaben werden von IT-Generalisten oder Mitarbeitern anderer Abteilungen im operativen Alltag mitverwaltet. Zudem existieren in vielen Betrieben keine standardisierten Prozesse (Incident Response Playbooks) oder Verifikationswege, um die Authentizität externer Behördenanfragen systematisch zu überprüfen. Das sogenannte „Authority Phishing“ hebelt so gezielt die menschliche Brandmauer aus.

Empfehlungen für die Enterprise-Praxis: Resilienz und Sofortmaßnahmen

Sollte ein System im Unternehmen kompromittiert worden sein, ist schnelles, methodisches Handeln zur Schadensbegrenzung erforderlich:

Präventiv empfiehlt sich neben dem kontinuierlichen Patch-Management und der Implementierung von unveränderlichen Backups (Immutable Backups) vor allem die Etablierung klarer interner Richtlinien.

Unaufgeforderte E-Mails von Behörden oder Ermittlungsorganen dürfen grundsätzlich nicht über die mitgelieferten Links oder Anhänge bearbeitet werden. Eine Verifikation muss stets über offizielle, unabhängig recherchierte Kommunikationskanäle der jeweiligen Institution erfolgen.

Zudem sollten IT-Verantwortliche die Firewall- und E-Mail-Filterregeln so anpassen, dass der Zugriff auf anonyme P2P-Netzwerke wie Tox im Unternehmensnetzwerk standardmäßig blockiert wird.