Offensive Services

Ordinypt: Eine neue deutschlandweite Ransomware-Welle

Aktualisiert am

Mit dem Wochenstart beginnt auch eine neue Ransomware Welle in ganz Deutschland: Ordincrypt verursacht seit Schäden in dem Daten verschlüsselt werden. Seit Anfang dieser Woche häufen sich die Meldungen von einer neuen Ransomware-Welle, welche gezielt deutsche Unternehmen angreift.

Ordinypt – Vorsicht bei Bewerbungsschreiben!

Die neue Ordinypt Ransomeware-Welle verteilt sich, wie viele Ihrer Vorgänger, ebenfalls über E-Mails. Diesmal wird ein Klassiker der Phishing-Techniken genutzt: Die Malware wird über ein gefälschtes Bewerbungsschreiben einer “Eva Richter” verteilt. Dabei nimmt die E-Mail Bezug auf eine angeblich über die Arbeitsagentur eingestellte Stellenausschreibung.

Spam-Email
Ordinypt Spam E-Mail (Quelle: bleepingcomputer.com)

An dieser E-Mail erkennt man sehr schön zwei Tricks bei Phishing-E-Mails:

  1. Zum einen werden keine Ansprechpartner für die Bewerbung genannt, sondern es wird eine generische Ansprache genutzt
  2. Des Weiteren gibt die E-Mail nicht an auf welche Stelle sie sich bezieht

Bei solch unkonkreten E-Mails mit einem Datei-Anhang sollten Sie am besten direkt skeptisch werden und diese im Zweifel nicht öffnen.

Ordinypt: Eine weitere Ransomware, die Unternehmen Probleme bereitet.

Im Anhang an diese E-Mail befindet sich eine komprimierte Zip-Datei mit dem Namen “Eva Richter Bewerbung und Lebenslauf.zip”. Diese Zip-Datei allein führt beim Entpacken noch keine bösartigen Funktionen aus. Sollte diese Datei entpackt werden, enthält diese eine Datei Namen “Eva Richter Bewerbung und Lebenslauf.pdf.exe”.

Ordinypt Installer
Gefakter Lebenslauf welcher Ordinypt startet (Quelle: bleepingcomputer.com).

Für einen Windows-Nutzer, der die Dateiendungen ausgeblendet hat, sieht diese Datei also wie ein PDF aus. Es handelt sich dabei aber um eine Software welche die Daten des Opfers verschlüsselt und ein Lösegeld i.H.v. circa 1.300 EUR in Bitcoin für die Entschlüsselung verlangt. Als Dateiendung der verschlüsselten Daten wird die kryptische Zeichenkette “MyyqA” verwendet.

Ein Schutz vor Ransomware wie Ordinypt ist schwierig.

Ein effektiver Schutz vor Viren und Ransomware wie Ordinypt, ist auf technischer Seite sehr schwierig. Gerade wenn ein Unternehmen zu den ersten Zielen einer Malware-Welle gehört erkennen viele Antiviren Produkte diese als solche noch nicht. Daher ist der größte Schutz vor solchen Attacken ein geschulter und aufgeweckter Mitarbeiter, der die Tricks einer Phishing und Malware Attacke zu erkennen weiß. Unterstützen kann hier das Projekt Healbox. So sollte sichergestellt sein, dass alle Mitarbeiter immer regelmäßig geschult werden, wie neue Betrugsmaschen zu erkennen sind. Des Weiteren sollten alle Administratoren versuchen ihre Mitarbeiter über Malware-Wellen wie Ordinypt zu informieren.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.