Vorsicht vor dem Erpressungstrojaner Gandcrab!

Aktuell gibt es wieder Bewerbungen per E-Mail, die sogenannte „Ransomware“ verteilt. Auch Praxen werden mit solchen „Bewerbungen“ angeschrieben – deswegen ist äußerste Vorsicht geboten!

Praxisangestellte, die Zugriff auf das E-Mailkonto hatten, fielen nämlich auch auf die gefälschte Bewerbung herein und führten dadurch die Schadsoftware aus. Die Absender versenden die E-Mail beispielsweise mit dem Betreff  „Bewerbung auf die ausgeschriebene Stelle – Nadine Meier” (die Namen können von E-Mail zu E-Mail variieren).

Die Täter schreiben kurz einen Begrüßungstext und fügen das Portraitfoto einer jungen Frau bei. Weitere Informationen seien in den „Bewerbungsunterlagen” im Anhang zu finden, die als zip-Datei mitgeschickt werden. Dort steht dann etwas wie: „Sehr geehrte Damen und Herren, anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung … zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen. Ich freue mich auf ein persönliches Vorstellungsgespräch. Mit besten Grüßen …”

Auch MEDI-Ärzte gehören zu den Geschädigten
Wer die angehängte Datei entpackt und die darin enthaltene EXE-Datei unbewusst ausführt, lässt der Schadsoftware freien Lauf. Die Computerdaten werden verschlüsselt und ein Lösegeld über Bitcoin-Zahlung wird erpresst.

Wir wissen von MEDI-Praxen, dass Schadensfälle eingetreten sind. DSGVO-Meldungen an die staatliche Aufsichtsbehörde waren erforderlich. Der betriebswirtschaftliche Schaden lag im fünfstelligen Eurobereich. Und die Reputation der Praxis kann enormen Schaden erleiden.

Kein Verlass auf alle Antivirenprogramme!
Die Schadsoftware, die auf Windows-Rechner ausgelegt ist, wird derzeit noch nicht von allen Antivirenprogrammen erkannt. Eine Überprüfung unter virustotal.com ergab, dass nur 26 von 65 verfügbaren Programmen die Gefahr aktuell erkennen. Vermehrt wird die Gefahr auch von namhaften Antivirenprogrammen als gefahrlos eingestuft.

Was können Sie (außerdem) tun?
Wichtig ist die Schulung der Praxismitarbeiter. Entsprechend sollten Vorkehrungen getroffen werden, solche E-Mails auf gefährliche Inhalte zu prüfen. Sollten Sie bereits den Anhang ausgeführt und somit Ihr System geschädigt haben, ist zweifelhaft, ob die geforderte Zahlung wirklich zu dem erhofften Ziel, der Entschlüsselung der Daten, führt.

Unsere Empfehlung: trennen Sie den betroffenen Computer sofort vom internen PC-Netzwerk (RJ-45 Netzwerkstecker mit dem Netzwerkkabel). Und ja, auch Ihr WLAN kann betroffen sein. ABER: schalten Sie den PC nicht aus! Denn bei einem Neustart kann sich die Schadsoftware verteilen. Schalten Sie umgehend einen IT-Experten Ihres Vertrauens ein. Überlegen Sie auch, ob eine Strafanzeige Sinn macht. Ein infizierter PC kann als Beweismittel gelten.

Jede Praxis sollte regelmäßig Backups ihrer Daten durchführen! Natürlich darf der Backupspeicher nicht ständig an einem Computer angeschlossen oder im Netzwerk verfügbar sein. Ansonsten macht sich zum Beispiel Gandcrab auch über die Backupdateien her. Generell sollte man bei jeder E-Mail vorsichtig sein und niemals Dateianhänge einfach so öffnen oder auf Links klicken (auch wenn wir hier welche angeben).

Wählen Sie lange Passwörter!
Manche Praxen gehen mit ihren Passwörtern und deren Länge recht leger um. Die Sicherheit von Passwörtern steigt jedoch exponentiell mit ihrer Länge an! Kann man bei einem Cyberangriff 350 Milliarden Schlüssel pro Sekunde durchprobieren, wäre ein Passwort aus Buchstaben und Zahlen mit acht Stellen rechnerisch nach weniger als elf Minuten geknackt. Ein zehnstelliges Passwort hingegen erst nach knapp 28 Tagen.

Jedes Mal, wenn Sie ein Zeichen zu einem Passwort hinzufügen, erhöhen Sie exponentiell die Schwierigkeit es zu knacken. Näheres erfahren Sie auch bei uns im Blog unter https://blog.to.com/brute-force-angriff/

Roland Schlifter
IT-Security Consultant und Datenschutzbeauftragter bei der Thinking Objects GmbH
(security.to.com)