Was ist Smokeloader?
Smokeloader ist eine Malware-Variante, die seit über 10 Jahren existiert und sich fortlaufend weiterentwickelt, was sie überaus gefährlich und aus polizeilicher Sicht relevant macht. Üblicherweise wird der Computer durch schädliche Anhänge infiziert, die via Spam-Mails versendet und durch das Opfer geöffnet werden. Die Schadsoftware, in diesem Fall Smokeloader, lädt dann weitere Schadsoftware nach. In Deutschland werden insbesondere Remote Access Tools bzw. Ransomware nachgeladen.
Smokeloader ermöglicht den Cyberkriminellen unter anderem
- das Ausspähen der Daten des Betroffenen und
- das Nachladen weiterer Schadsoftware, insbesondere auch von sogenannter Ransomware.
Wie kann ich mich privat gegen Smokeloader schützen?
- Halten Sie Ihr Betriebssystem und Dritt-Software stets auf dem neusten Stand!
- Nutzen Sie eine Antiviren-Software und aktualisieren Sie diese immer wieder.
- Sichern Sie regelmäßig Ihre Daten (Backups) und halten Sie diese idealerweise „offline“ vor.
- Seien Sie misstrauisch bei Links oder Anlagen in E-Mails mit unbekanntem Absender.
- Haben Sie aber auch ein gesundes Misstrauen, wenn Ihnen etwas bei vermeintlich bekannten Absendern ungewöhnlich vorkommt. Öffnen Sie Dateianhänge und Links von E-Mails nur mit Vorsicht. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach dem tatsächlichen Versand der Inhalte erkundigen.
Wie können sich Unternehmen gegen Smokeloader schützen?
- Entwerfen Sie Verfahrensweisen und Anleitungen, wie sich Ihre Mitarbeitenden im Falle eines Cyberangriffs verhalten sollen.
- Aktualisieren Sie Ihr Sicherheitskonzept regelmäßig.
- Schulen Sie Ihre Mitarbeitenden hinsichtlich Cybersicherheit.
- Legen Sie (vom System getrennte) Back-Ups Ihres Systems an.
- Erstatten Sie im Fall einer Infektion unverzüglich Strafanzeige bei Ihrer Zentralen Ansprechstelle Cybercrime (ZAC). Eine Übersicht über die Ansprechstellen finden Sie hier.
Ich wurde durch meinen Internet-Provider informiert, dass ich von Smokeloader betroffen bin. Was ist der Hintergrund der Benachrichtigung?
Im Rahmen eines beim Bundeskriminalamt im Auftrag der Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität bei der Generalstaatsanwaltschaft Frankfurt am Main (ZIT) geführten Ermittlungsverfahrens gegen die Verbreiter der Malware Smokeloader wurde festgestellt, dass zumindest eines der von Ihnen genutzten Computersysteme zu der Infrastruktur der Täterschaft kommuniziert. Das bedeutet, dass eines oder sogar mehrere Geräte, die mit Ihrem Internetanschluss verbunden sind, mit der Schadsoftware Smokeloader infiziert sind. Diese Computer können nach der Infektion durch den oder die Täter eingesetzt werden, um weitere Straftaten zu begehen, insbesondere um persönliche Daten (wie Nutzernamen und Passwörter) von Nutzern des infizierten Rechners auszuspähen.
Darüber hinaus ist die Malware Smokeloader insbesondere dafür bekannt, weitere Schadsoftware nachzuladen. Hierbei handelt es sich üblicherweise um Malware zum Diebstahl von persönlichen Informationen oder aber auch besonders heimtückische Ransomware. Eine Infektion mit einer Ransomware führt im Regelfall zur Verschlüsselung von Daten auf einzelnen Computern oder in ganzen Netzwerken mit dem Ziel, Lösegeld zu erpressen.
Was bedeutet das für mich?
Sie sind Opfer einer Straftat geworden (hier einer Datenveränderung, strafbar gem. § 303a Strafgesetzbuch), indem ohne Ihr Wissen Schadsoftware auf Ihrem Computer installiert wurde. Es besteht die Gefahr, dass die Täter Zugang zu Ihren persönlichen Daten hatten oder Sie aufgrund der nachgeladenen Schadsoftware nicht mehr auf Ihren Computer und Ihre Daten zugreifen können. Wir raten Ihnen, alle Ihre Zugangsdaten, die Sie auf den betroffenen Systemen (zum Beispiel im Web-Browser) gespeichert oder eingegeben haben, zu ändern und Ihre Systeme zu bereinigen. Weitere Informationen, auch im Zusammenhang mit einer Anzeigenerstattung, finden Sie unter dem Punkt: „Was sollte ich jetzt tun?“
Was hat das Bundeskriminalamt unternommen?
Aufgrund strafprozessualer Maßnahmen hat das Bundeskriminalamt im Rahmen einer internationalen Operation die schädlichen Bestandteile der Malware „Smokeloader“ auf betroffenen Computersystemen entfernt. Trotz der Entfernung bleiben von der Malware unschädliche Artefakte übrig, die eine entsprechende Beweissicherung ermöglichen.
Im Rahmen dieser Beweissicherung und um Ihnen als betroffenen Nutzern eine vollständige Bereinigung der Systeme zu ermöglichen und damit weitere Straftaten zu verhindern, ist eine Identifizierung der betroffenen Systeme notwendig. Hierfür wurden die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme nicht mehr zur Infrastruktur der Täter, sondern zu einer zur Beweissicherung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichteten Infrastruktur kommunizieren. Dabei werden folgende Daten übermittelt:
- IP-Adressinformationen des festgestellten Anschlusses
- der vom Nutzer vergebene Computername (z.B. Max Mustermann_PC)
Was macht das Bundeskriminalamt mit den Informationen?
Die IP-Adressinformationen des festgestellten Anschlusses werden von der zur Beweissicherung genutzten Infrastruktur über das Bundesamt für Sicherheit in der Informationstechnik (BSI) an die für die jeweiligen IP-Adressen zuständigen Internetprovider übermittelt, damit diese ihre betroffenen Kunden gezielt darüber informieren können, dass ihr Rechner infiziert ist. Ziel ist es, die Opfersysteme zu erkennen und bereinigen zu lassen und dadurch die Ausbreitung von sowohl Smokeloader als auch weiterer Schadsoftware zu stoppen, damit keine weiteren Straftaten begangen werden können.
Was sollte ich jetzt tun?
Sie müssen davon ausgehen, dass sich neben der Infektion mit Smokeloader auch weitere Schadsoftware auf mindestens einem Computersystem in Ihrem lokalen Netzwerk befindet. Sorgen Sie daher unbedingt für eine Desinfektion ihrer Systeme!
Hinweise, wie Sie eine solche Bereinigung durchführen, finden Sie beispielsweise auf der Internetseite des BSI
Wir appellieren dringend an Sie, bei Cyberangriffen jeder Art unverzüglich Strafanzeige bei Ihrer örtlich zuständigen Polizeidienststelle zu erstatten – erfolgreiche Cyberkriminelle werden Angriffe wiederholen und die Polizei kann nur Kriminalität bekämpfen, wenn Sie sie über eine Straftat informieren!