Die Woche 22 im Rückblick

08.06.2021 - In der vergangenen Woche war der Meldeeingang beim NCSC tief. Gute Nachrichten gab es für die Opfer der Ransomware «Avaddon». Die Initiative «No more ransom» hat zu dieser Ransomware ein Entschlüsselungstool veröffentlicht.  Aufgefallen ist ein gefälschter Wettbewerb der per WhatsApp verbreitet wurde, bei dem es scheinbar eine Rolex-Uhr zu gewinnen gibt. Zudem wurde dem NCSC eine neue Vorgehensweise bei Fake Support-Anrufen gemeldet: Opfer erhielten anstelle eines Telefonanrufs eine E-Mail, mit der Bitte um Rückruf für eine angebliche Erneuerung eines Norton Virenschutzes.

Aktuelle Statistiken

Anzahl Meldungen pro Woche während der letzten 12 Monate

Anzahl Meldungen der letzten Woche nach Kategorien

Hoffnung für Betroffene der Avaddon-Erpressersoftware

Die Ransomware «Avaddon» ist seit Juni 2020 aktiv. Neben der Verschlüsselung und dem Diebstahl der Daten ist die Software darauf spezialisiert, möglichst alle Backups, Schattenkopien und sogar die Daten im elektronischen Abfalleimer des Opfers zu löschen. Damit haben die Opfer praktisch keine Möglichkeit, ihre Daten nach der Verschlüsselung wiederherzustellen. 

Durch die Initiative «No more Ransom», an welcher auch das Europäische Cybercrime Center (EC3) der Europol beteiligt ist, wurde nun ein Entschlüsselungstool bereitgestellt. Mit diesem Hilfsmittel ist es möglich, die durch die Ransomware verschlüsselten Daten wiederherzustellen.
Webseite der initiative:
https://www.nomoreransom.org/de/decryption-tools.html#Avaddon

Die Verschlüsslung der Daten ist jedoch nur ein Teil der Erpressung. Die Avaddon-Angreifer drohen auch damit, die gestohlenen Daten zu veröffentlichen, hierzu haben sie sogar eine eigene Webseite aufgeschaltet. Bei zahlungsunwilligen Opfern drohen die Angreifer zudem mit einer Denial of Service (DoS) Attacke, die Infrastruktur der Opfer lahmzulegen.

Da sich die Angreifer mittlerweile darauf spezialisiert haben, beim einem Ransomware-Vorfall, die Daten nicht nur zu verschlüsseln, sondern dem Opfer auch mit der Veröffentlichung dieser Daten zu drohen, empfiehlt das NCSC, alle Partner proaktiv zu informieren, deren Daten vom Angriff betroffen sind oder sein könnten. Dies gilt insbesondere natürlich für die Kundendaten. Vom Zahlen des Lösegeldes rät das NCSC dringend ab, da keine Sicherheit besteht, dass die Daten nicht trotzdem weitergegeben werden. Zudem ist nicht ausgeschlossen, dass zu einem späteren Zeitpunkt eine erneute Erpressung stattfinden wird. Treffen Sie zudem Vorbereitungen zur Abwehr eines Denial of Service Angriffs. Auf der Webseite des NCSC finden Sie Tipps und Hinweise zum Umgang mit Ransomware und DDoS-Angriffen.


Falsches Rolex-Gewinnspiel per WhatsApp versendet

Das NCSC hat letzte Woche zahlreiche Meldungen über ein angebliches Rolex-Gewinnspiel erhalten. Der entsprechende Link dazu wird über WhatsApp verbreitet. 


Das Anklicken des Links führt auf eine Seite, die den Besucher auffordert, einige Fragen zu beantworten, um anschliessend eine Rolex-Uhr zu gewinnen. Anschliessend können die Teilnehmenden aus neun Geschenken eines auswählen. Der erste Versuch ist dabei immer eine Niete. Alle erhalten aber eine zweite Chance, bei der dann auf wunderbare Weise jeder eine Rolex gewinnt.


Um die Uhr zu erhalten, wird das Opfer aufgefordert, auf die grüne Schaltfläche «WhatsApp» zu klicken (siehe Grafik). Dadurch wird eine neue WhatsApp-Mitteilung mit dem betrügerischen Link generiert, welche das Opfer nun an einen Kontakt senden soll. Dies muss das Opfer nun 20mal tun.  

Link, welcher eine WhatsApp Nachricht generiert.

Sind die WhatsApp-Nachrichten verschickt, gelangt das Opfer auf weitere betrügerische Webseiten, welche schlussendlich zu einer Abofalle führen.

Mit dieser Vorgehensweise per WhatsApp wird die Betrugsmeldung ohne Zutun der Betrüger an unzählige potenzielle Opfer gesendet. Dies erhöht die Chance, dass möglichst viele in die Abofalle reintappen.
Wichtig jedoch ist, dass die Betrüger keine Kenntnis davon haben, an wen die Whatsapp-Meldung mittels diesem Schneeballsystem versendet wurde.

Falls Sie diesen Betrug weitergeleitet haben, raten wir dringend dazu, die Empfänger zu warnen. Allgemein sollten keine Links von zweifelhafter Herkunft weitergeleitet werden. Klicken Sie auf Social Media-Kanälen auf keinen Link, welchen Sie nicht angefordert haben oder der unkommentiert an sie weitergeleitet wurde.

Neues Vorgehen von Betrügern bei Anrufen zu Fake-Support

Neuerdings werden E-Mails zu einem Norton Antivirus-Abonnement versendet mit der Aufforderung, Letzteres zu erneuern. Beim Rückruf auf die angegebene Telefonnummer mit amerikanischer Vorwahl versuchen die Betrüger dann, Zugriff auf den Computer des Opfers zu erhalten und Bankdaten zu stehlen.

Geben Sie niemals unbekannten Personen Zugriff auf Ihren Computer.

Letzte Änderung 08.06.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/wochenrueckblick_22.html