BKA-Mail mit Schadsoftware im Gepäck

Martin Schindler,
Bundeskriminalamt (Grafik: BKA)

Das BKA warnt vor Mails, die im Namen der Behörde verschickt werden. Denn die Nachrichten bringen im Anhang einen gefährlichen Schädling mit.

Hacker tarnen derzeit ihre Malware in gefälschten Nachrichten des Bundeskriminalamt. Das BKA warnt vor Nachrichten, in denen die Behörde angeblich über die Erpresser-Software Ransomware Locky informiert. Tatsächlich aber wird über diese Mails Schadsoftware verbreitet. Das BKA weist in diesem Zusammenhang auch darauf hin, dass grundsätzlich keine persönlich adressierten E-Mails vom BKA verschickt werden. Warnungen vor Schädlingen oder Cyberbedrohungen werden über Website oder als offizielle Pressemitteilung bekannt gemacht.

So kommt mit den Nachrichten ein Anhang mit, der eine Datei namens “BKA Locky Removal Kit.exe” enthält. Bei ihr handelt es sich nicht wie im E-Mail-Text beschrieben, um ein Analysetool zum Identifizieren und Entfernen der Ransomware, sondern um einen Trojaner. Daher sollte der Anhang auf keinen Fall geöffnet und die entsprechende E-Mail sofort gelöscht werden.

PC-Security-Bloatware-Malware-shutterstock-Ollo-1024

Laut BKA sind die gefälschten Nachrichten, die auch das Logo des Bundeskriminalamts enthalten, mit “Steven Braun (IT-Beauftragter) Bundeskriminalamt” unterzeichnet. Der bislang bekannte Betreff der Fake-E-Mails lautet “Offizielle Warnung vor Computervirus Locky”.

Sofern sie die angehängte Datei bereits heruntergeladen und ausgeführt haben, sollten Anwender einen vollständigen Systemscan mit einer aktuellen Antivirensoftware durchführen. Außerdem ist zu beachten, dass nach Ausführung der Datei zumindest die Gefahr besteht, dass Zugangsdaten für Internetdienste bereits ausgespäht wurden. Daher sollten Nutzer in jedem Fall Passwörter von einem nicht infizierten Gerät aus ändern.

Weitere Hilfestellungen und Informationen zum Umgang mit infizierten Computern bieten das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Initiative “Botfrei“.

Die Ransomware Locky verbreitet sich verstärkt seit Mitte Februar über per E-Mail verschickte Word-Dokumente. Die angeblichen Rechnungen enthalten ein Makro, durch dessen Ausführungen die Erpresser-Malware auf den Rechner gelangt. Eine ähnliche Technik nutzte schon die Banking-Malware Dridex. Daher vermuten verschiedene Sicherheitsforscher, dass in beiden Fällen die gleichen Hackerbanden am Werke sind.

Mit Locky verschlüsselte Dateien bekommen von der Malware die Endung “.locky” verpasst. Der Schädling verbreitet sich im rasenden Tempo und bei den Neuinfektionen ist vor allem Deutschland betroffen. Weitere Lokale Schwerpunkte des Schädlings sind Niederlande, USA und Kroatien.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de