Wieder einmal ist es ein Erpressertrojaner, der die Nerven vieler E-Mail-Nutzer strapaziert. Gand Crab, wie die Schadsoftware offiziell bezeichnet wird, tarnt sich als harmlose Bewerbung in Form eines Office-Dokuments. Er zielt insbesondere auf Personalabteilungen ab und stellt durch seine äußerst professionelle Aufmachung ein erhebliches Risiko für dort beschäftigte Angestellte dar.
Seinen ersten Auftritt hatte Gand Crab bereits im Herbst 2018. Schon zu diesem Zeitpunkt war die Schadsoftware dem BSI ein Dorn im Auge, weshalb umgehend eine Warnung veröffentlicht wurde. Nun hat sich die Situation allerdings zugespitzt: Ähnlich wie beim Vorgänger GoldenEye, der bereits im Jahr 2016 nach ganz ähnlichem Prinzip agierte, geben sich die Cyberkriminellen als Jobsuchende aus und versenden vermeintliche Bewerbungsunterlagen per E-Mail. Während die verwendeten Anschreiben bei GoldenEye noch massenhaft Rechtschreib- und Grammatikfehler aufwiesen, sieht dies bei Gand Crab anders aus: Wie das unten zu sehende Sample zeigt, sind die E-Mails in perfektem Deutsch verfasst und lassen ohne genauere Überprüfung keine Annahme zum Betrug zu.
Gand Crab E-Mail
Gand Crab E-Mail
Ziel der Cyberkriminellen ist es, die Opfer zum Öffnen des Office-Dokuments im Anhang zu bewegen. Dies ist in der Regel eine .doc, also eine veraltete Word-Datei. Nach dem Öffnen erscheint ein täuschend echter Hinweis im Design von Microsoft Office. Es handle sich um ein veraltetes Format und man müsse den Kompatibilitätsmodus aktivieren, um die Datei anzeigen zu lassen. Kommt man der Aufforderung nach, wird die Ausführung von Makros zugelassen und der in der Datei versteckte Gand Crab Trojaner macht sich sofort an die Arbeit, die Festplatte des Geräts zu verschlüsseln. Ist dieses Szenario erst einmal eingetreten, ist der Schädling nur schwer wieder loszuwerden.
Die IT-Sicherheitsexperten von Hornetsecurity raten Unternehmen dazu, sich keineswegs ausschließlich auf Antivirenprogramme zu verlassen. Denn nur ein Teil der AV-Scanner sei momentan in der Lage, Gand Crab zu erkennen. Zudem wird dringend davon abgeraten, die geforderte Lösegeldsumme zu zahlen. Wie bei anderen Erpressertrojanern, gilt die Entschlüsselung der Daten bei Gand Crab keinesfalls als sicher.
Viel mehr wird Unternehmen empfohlen, frühzeitig auf geeignete Präventivmaßnahmen zu setzen. Die ausgeklügelten Sicherheitsmechanismen von Managed Security Services, wie Hornetsecurity ATP, stufen den Trojaner bereits vor dem Eintreffen im E-Mail-Postfach als Bedrohung ein und filtern ihn konsequent aus. So kann es im teilweise hektischen Arbeitsalltag in Personalabteilungen ausgeschlossen werden, dass eine mit Gand Crab bestückte E-Mail versehentlich geöffnet wird.