Erneut haben die Experten von Proofpoint die neueste Erpresser-Software in Deutschland entdeckt. Erst vor einer Woche hatte Proofpoint eine Ransomware-Attacke auf deutsche Unternehmen und Verbraucher entdeckt. Dabei sollte die Ransomware Hakbit über gefälschte Rechnungen von 1&1 die PCs der Opfer in Deutschland bei dem Angriff verschlüsseln.

Bei der neuesten Kampagne versuchen kriminellen Hintermänner jetzt, die Philadelphia-Ransomware zu verbreiten. Dabei fälschen sie eine Email, die angeblich von der Bundesregierung an deutsche Unternehmen versendet wurde – allerdings so schlecht gemacht, dass darauf wohl nur sehr selten jemand hereinfallen dürfte.

Die Email sieht nach dem Werk von Amateuren aus

Den Kopf der E-Mail ziert ein gefälschtes Logo der Bundesregierung (in Englisch) und als Absender nutzten die Angreifer die Adresse „state@germany-government.eu“, um ihrer Email einen offiziellen Anstrich zu geben. Die Kampagne richtet sich vor allem an deutsche Unternehmen des verarbeitenden Gewerbes, der Lebensmittel- und der Getränkeindustrie.

Nicht nur die geringe Lösegeldsumme von nur 200 Euro deutet darauf hin, dass hinter dieser Aktion Amateure stecken. Die deutsche Bundesregierung würde eine solche Mail niemals verschicken, sondern höchstens die zuständigen Ministerien und Behörden.

Auch die Grammatik der Mail ist mangelhaft und bei der Anrede wird zwischen „Sie“ und „du“ gewechselt. Vermutlich wurde das Anschreiben nicht von deutschen Muttersprachlern verfasst und die auch nicht den blassesten Schimmer vom Dunst einer Ahnung von den realen Verhältnissen in Deutschland haben.

Aufmerksame Empfänger können also fast auf den ersten Blick erkennen, dass es sich bei der Email auf keinen Fall um eine offizielle Nachricht der Bundesregierung handeln kann.

Zwar kann der Betreff der Mail dennoch den ein oder anderen wegen der COVID-19-Pandemie besorgten Unternehmer zu einem vorschnellen Klick auf den darin enthaltenen Link verleiten, denn als Betreff nutzen die Angreifer: „Die Entscheidung, Ihr Unternehmen aufgrund von COVID-19 zu schließen“ – vom Stil her auch recht fragwürdig.

Außerdem kommt das Machwerk auch zentriert (und damit viel schwerer lesbar als linksbündig oder im Blocksatz formatiert) daher. Schauen Sie sich das Artikelbild der Email mal genau an und überlegen, ob Sie auf diesen amateurhaften Versuch hereinfallen würden…

Wer trotzdem auf den Link klickt, unter dem man angeblich weitere Dokumente zu dem Vorgang herunterladen kann, der erhält statt weiterführender Informationen direkt den Verschlüsselungstrojaner Philadelphia, der sofort den PC des Opfers damit verschlüsselt und den Benutzer auffordert, das Lösegeld von 200 Euro in Bitcoin zu bezahlen, um seine Daten wieder zu entschlüsseln…