Incident Response: Erpressungswelle auf Frauenhäuser

For the English version please see below!

Key takeaways

Derzeit finden Angriffe mit dem Ziel der Erpressung auf soziale Einrichtungen statt, die dem gleichen Muster folgen. Es werden gefälschte Bewerbungsschreiben genutzt, um Schadsoftware zu verteilen, die schlussendlich zur Datenexfiltration führen soll. Wir geben Tipps zur Detektion des Angriffs, stellen Tooling dafür bereit und helfen mit Sofortmaßnahmen bei erfolgter Infektion.

Was ist passiert?

Security Research Labs hat kürzlich Kenntnis über eine Angriffswelle auf Frauenhäuser erhalten. Diese sind in den vergangenen Wochen zunehmend in den Fokus von Erpressern geraten.

Die Angreifer drohen damit, nach einem Angriff auf die IT-Systeme der Frauenhäuser, abgezogene Daten zu veröffentlichen und verlangen Geld, um einer Veröffentlichung vorzubeugen. Frauenhäuser als soziale (und damit häufig wenig finanzstarke) Einrichtungen fallen dabei nicht in das übliche Beuteschema von Ransom-Akteuren. Durch die extreme Sensibilität der verarbeiteten Daten erhoffen sich die Angreifer sicherlich nichtsdestotrotz eine Zahlungsbereitschaft.

Das Vorgehen ist in den uns bekannten Fällen identisch. Der Start des Angriffs erfolgt via Mail – über eine täuschend echte, gefälschte Bewerbungsmail wird der Kontakt aufgenommen. Im weiteren Verlauf der Kommunikation wird ein Download-Link (z.B. wetransfer) zu vermeintlichen Bewerbungsunterlagen (Zip-Datei) geteilt. Die Zip-Datei beinhaltet 3 Dateien: eine als PDF getarnte Programmdatei des Sumatra-PDF-Readers, eine DLL-Datei (dbgcore.dll) und eine TXT-Datei (settings.txt). Beim Öffnen der scheinbaren PDF-Bewerbung lädt der Sumatra-PDF-Reader automatisch die eigentliche Malware (CommieLoader) in Form von dbgcore.dll (DLL-Sideloading) nach. Diese führt wiederum einen in der settings.txt versteckten Cobalt-Strike Beacon aus mit der Command-and-Control-Domain: refugee-help[.]com. Mittels eines Run-Keys innerhalb der Windows-Registry persistiert sich die Malware schließlich.

Wie erkennen wir, ob wir betroffen sind?

Prüfschritt 1: Initiale Kontaktaufnahme per Mail durch den Angreifer

Prüft im ersten Schritt in euren Mail-Inboxes, ob eine Mail von einer/m Chris/Christina Gruber vorhanden ist. Die uns bekannten Mails weisen alle eine generische Ansprache („Sehr geehrte/r Recruiter/in“) auf und bitten um einen Platz als Praktikantin.

Chris Gruber is applying for a trainee position and is requesting the recipient to download the application documents via WeTransfer due to attachment size restrictions.

Nachfolgend findet ihr Suchkriterien, die euch helfen können, die Mails zu identifizieren:

**Absender:** Chris Gruber - chrisgruber45@gmail[.]com; 

**Betreff:** „Bewerbung Bereitschaftsdienst“; „Bewerbung Praktikantin“ 

Wenn ihr derartige Mails findet, stellt bitte sicher, dass nicht auf Links geklickt wird und löscht diese im Idealfall nicht, um sie für spätere Analysen zur Verfügung zu haben. Führt dann bitte dringend Prüfschritt 2 aus, um sicherzugehen, dass keine weiteren Angriffsschritte durchgeführt wurden.

Prüfschritt 2: Prüfung der weiteren Angriffskette

Zur Prüfung auf eine Infektion haben wir eine angepasste Version des Loki-Scans von Nextron Systems erstellt. Dieser nutzt bekannte IoCs, um zu überprüfen, ob die Datei heruntergeladen wurde und die CommieLoader Infektion erfolgreich war.

Prüft im nächsten Schritt mit diesem angepassten Scanner euer System auf Spuren der Malware. Führt dazu die Datei "loki.exe" mit Administrationsrechten aus (Klick mit der rechten Maustaste auf die Datei -> als Administrator ausführen).

Scan-Ergebnis bei vorliegender CommieLoader-Infektion:

Scan-Ergebnis bei keiner vorliegenden CommieLoader-Infektion:

Was ist zu tun, wenn ihr eine Infektion feststellen konntet?

1. Nehmt das betroffene Gerät sofort aus dem Internet

Trennt das Gerät vom Netzwerk, sowohl das LAN-Kabel ziehen als auch WLAN deaktivieren. So verhindert ihr, dass der Angreifer weiterhin auf das System zugreifen oder weitere Daten abfließen lassen kann.

2. Dokumentiert alles

Macht Screenshots von verdächtigen E-Mails, Links oder Fehlermeldungen. Notiert euch die genaue Uhrzeit des Vorfalls und welche Dateien oder Ordner möglicherweise betroffen sein könnten. Diese Informationen sind später für die IT-Forensik wertvoll.

3. Ändert sofort alle Passwörter

Verwendet dafür ein sicheres, nicht betroffenes Gerät (z.B. euer Smartphone oder einen separaten Rechner). Ändert insbesondere:

• Firmen-E-Mail-Passwort

• Zugangsdaten für Cloud-Dienste (Office 365, Google Workspace etc.)

• VPN- und Netzwerkzugänge

• Private Passwörter, die möglicherweise auf dem Gerät gespeichert waren

4. Aktiviert die Zwei-Faktor-Authentifizierung (2FA)

Falls noch nicht aktiviert, richtet jetzt 2FA für alle wichtigen Konten ein. Das erschwert es dem Angreifer, auch mit gestohlenen Passwörtern erneut Zugriff zu erhalten.

5. Meldet den Vorfall umgehend der IT

Informiert eure IT-Verantwortlichen oder die zuständige Person für den IT-Bereich eurer Einrichtung. Je schneller die IT eingebunden wird, desto besser können weitere Schäden begrenzt werden.

6. Informiert weitere betroffene Personen

Wenn ihr Zugriff auf gemeinsame Ordner, E-Mail-Verteiler oder vertrauliche Daten hattet, koordiniert eine Information diese Personen oder Abteilungen über den möglichen Datenabfluss.

7. Speichert wichtige Daten lokal ab

Sichert alle noch intakten, wichtigen Daten auf ein externes, verschlüsseltes Laufwerk, aber nur solche, bei denen ihr sicher seid, dass sie nicht kompromittiert sind.

8. Koordiniert die nächsten Schritte

Betroffene Geräte sollten gesichert und neu aufgesetzt werden, um potenzielle Spuren der Angreifer nachvollziehen zu können. Insbesondere hinsichtlich möglicher IT-forensischer Untersuchungen sind dabei wichtige Punkte in der Entscheidungsfindung zu berücksichtigen.

• Beweissicherung: Die IT-Forensik benötigt möglichst vollständige Originaldaten, um den Angriff vollständig analysieren zu können.

• Schwachstellenidentifikation: Nur anhand der vorhandenen Daten lässt sich feststellen, wie der Angreifer eingedrungen ist und ob noch andere Systeme betroffen sein könnten.

• Rechtliche Anforderungen: In vielen Fällen (besonders bei personenbezogenen Daten) bestehen gesetzliche Meldepflichten, die nur mit einer sauberen Analyse erfüllt werden können.

Empfohlene Vorgehensweise: Das betroffene Gerät wird von der IT oder einem externen Forensik-Dienst gesichert und analysiert. Erst nach der vollständigen Untersuchung wird es fachgerecht bereinigt und neu aufgesetzt.

Wie könnt ihr euch zukünftig schützen

1. Schult eure KollegInnen

Regelmäßige Sensibilisierungsschulungen sind die beste Verteidigung. MitarbeiterInnen sollten lernen, verdächtige E-Mails zu erkennen und im Zweifel immer nachzufragen, am besten telefonisch oder über einen separaten Kommunikationsweg - nicht über die verdächtige E-Mail selbst.

2. Vorsicht bei Links in E-Mails!

Achtet auf Unregelmäßigkeiten in der E-Mail-Kommunikation. Auch Angreifer sind sich der gestiegenen Awareness von Phishing-Angriffen bewusst und versuchen anfangs Vertrauen aufzubauen, bevor die eigentliche Malware geschickt wird. Bevor ihr auf einen Link klickt, fahrt mit der Maus über den Link, um das tatsächliche Ziel zu sehen. Weicht die URL von der offiziellen Domain ab (z.B. wetransfer.com statt wetransfer-sicherheit[.]top), handelt es sich um einen Betrug. Dabei gilt es, auch minimale Abweichungen (‚rnicrosoft.com‘ statt ‚microsoft.com‘) zu erkennen.

3. Prüft Anhänge und Downloads doppelt

Öffnet keine unerwarteten Dateitypen aus E-Mails, selbst wenn der Absender vertraut wirkt. Besonders verdächtig sind Dateien mit Endungen wie ‚.zip‘, .lnk, .vbs, .js oder .exe, eine vermeintliche "Bewerbung.pdf.lnk" ist keine PDF, sondern eine ausführbare Datei!

4. Aktiviert die Anzeige von Dateiendungen

In Windows sind Dateiendungen standardmäßig ausgeblendet. Aktiviert diese Option in den Ordneroptionen, um sofort zu sehen, ob es sich wirklich um eine PDF oder eine ausführbare Datei handelt.

Innerhalb Windows könnt ihr einstellen, dass die standardmäßig angezeigt werden. Diese Einstellungen werden im Menü über folgende Abfolge vorgenommen: View->Show->File name extensions:

5. Erstellt eine interne Meldekette

Etabliert einen einfachen Weg, verdächtige E-Mails zu melden (z.B. ein eigenes Postfach wie phishing@[firma].de). So können andere Kollegen gewarnt werden und die IT-Abteilung kann schnell reagieren.

6. Überprüft Absenderadressen genau

Achtet auf minimale Abweichungen in der E-Mail-Adresse (z.B. microsoft.com vs. microsoft-support.com oder rnicrosoft.com). Oft wird nur ein Buchstabe ausgetauscht oder eine Zahl hinzugefügt.

Die Angriffswelle zeigt, dass Angreifer nun nicht mehr davor zurückschrecken, Notsituationen anderer Menschen auszunutzen und auch Einrichtungen ins Visier nehmen, die sich klassisch außerhalb des typischen Angriffsradars befinden. Frauenhäuser verarbeiten hochsensible Daten - und genau das macht sie für Erpresser attraktiv, unabhängig von ihrer finanziellen Lage.

Die gute Nachricht: Der Angriff folgt einem klar erkennbaren Muster. Wer die Indikatoren kennt, kann ihn erkennen und reagieren. Technische Schutzmaßnahmen allein reichen dabei nicht aus – entscheidend ist, dass alle Mitarbeitenden wissen, wie eine verdächtige Mail aussieht und wie sie im Zweifel reagieren.

Hier findet ihr eine Checklist und die Loki.exe!

Das Blue Team von Security Research Labs wird diesen Artikel bei neuen Erkenntnissen aktualisieren.

Englisch

Incident Response: Wave of Extortion Attacks on Women’s Shelters

Key Takeaways

Attacks aimed at extorting social service organizations are currently taking place, all following the same pattern. Fake job applications are being used to distribute malware designed to ultimately lead to data exfiltration. We provide tips and tooling on how to detect the attack and take immediate action if necessary.

What Happened?

Security Research Labs recently learned of a wave of attacks targeting women's shelters. In recent weeks, these shelters have increasingly become a focus for extortionists. After attacking the shelters' IT systems, the attackers threaten to publish the stolen data and demand money to prevent its release. As social service organizations (and thus often financially strained), women's shelters do not typically fit the usual profile of ransomware attackers' targets. Nevertheless, given the extremely sensitive nature of the data they process, the attackers are certainly hoping that the shelters will be willing to pay.

The modus operandi is identical in the cases we are aware of. The attack begins via email\u2014contact is initiated through a genuine-looking, fake job application email. As the communication progresses, a download link (e.g., WeTransfer) to supposed application documents (a ZIP file) is shared. The ZIP file contains three files: a program file for the Sumatra PDF Reader disguised as a PDF, a DLL file (dbgcore.dll), and a TXT file (settings.txt). When the apparent PDF application is opened, the Sumatra PDF Reader automatically downloads the actual malware (CommieLoader) in the form of dbgcore.dll (DLL sideloading). This, in turn, executes a Cobalt Strike beacon hidden in settings.txt with the command-and-control domain: refugee-help[.]com. The malware ultimately persists itself using a Run key within the Windows Registry.

How can we tell if we have been affected?

• Step 1:** Initial contact via email from the attacker First, check your email inboxes to see if there is an email from someone named Chris or Christina Gruber. The emails we’re aware of all use a generic salutation (“Dear Recruiter – Sehr geehrte/r Recruiter/in”) and request an internship position.

Below you can find search criteria that can help you identify these emails:

**Sender:** Chris Gruber - chrisgruber45@gmail[.]com; 

**Subject:** „Bewerbung Bereitschaftsdienst“; „Bewerbung Praktikantin“ 

If you come across emails like this, please make sure not to click on any links and, ideally, do not delete them so that they are available for later analysis. Then, please perform Step 2 immediately to ensure that no further attack steps have been carried out.

Step 2: Check for further stages of the attack

To check if a further infection was successful, we created an adapted version of the Loki-Scan by Nextron Systems. It uses known IoCs to check if the malicious file was downloaded and the infection with CommieLoader was successful.

In the next step, use the scanner we've provided to check your system for traces of the malware. To do this, run the “loki.exe” file with administrator privileges (right-click the file -> Run as administrator).

Scan result if a CommieLoader infection is found:

Scan result if a CommieLoader infection cannot be found:

What should you do if you suspect an infection?

1. Immediately disconnect the affected device from the Internet
Disconnect the device from the network by unplugging the LAN cable and disabling Wi-Fi. This prevents the attacker from continuing to access the system or leaking more data.

2. Document everything
Take screenshots of suspicious emails, links, or error messages. Note the exact time of the incident and which files or folders might be affected. This information will be valuable for IT forensics later on.

3. Change all passwords immediately
Use a secure, unaffected device (e.g., your smartphone or a separate computer) to do this. Be sure to change the following in particular:

• Company email password
• Login credentials for cloud services (Office 365, Google Workspace, etc.)
• VPN and network credentials
• Personal passwords that may have been stored on the device

4. Enable two-factor authentication (2FA)
If not already enabled, set up 2FA for all important accounts now. This makes it more difficult for the attacker to regain access, even with stolen passwords.

5. Report the incident to IT immediately
Notify your IT managers or the person in charge of IT at your organization. The sooner IT is involved, the better you can limit further damage.

6. Notify other affected individuals
If you had access to shared folders, email distribution lists, or confidential data, coordinate with these individuals or departments to inform them of the potential data breach.

7. Back up important data locally
Back up all intact, important data to an external, encrypted drive\u2014but only data that you are certain has not been compromised.

8. Coordinate the next steps Affected devices should be secured and reset to preserve potential traces left by the attackers. In particular, with regard to possible IT forensic investigations, important factors must be considered in the decision-making process.

• Preservation of evidence: IT forensics requires original data that is as complete as possible in order to fully analyze the attack.
• Vulnerability identification: Only by analyzing the available data can you determine how the attacker gained access and whether other systems might also be affected.
• Legal requirements: In many cases (especially involving personal data), there are legal reporting obligations that can only be met through a thorough analysis. Recommended Procedure: The affected device is backed up and analyzed by the IT department or an external forensic service. Only after the investigation is complete is it properly cleaned and reimaged.

How You Can Protect Yourself in the Future

1. Train Your Colleagues

Regular awareness training is the best defense. Employees should learn to recognize suspicious emails and, when in doubt, always follow up—preferably by phone or through a separate communication channel, not via the suspicious email itself.

2. Be Careful with Links in Emails!

Watch for irregularities in email communication. Attackers are also aware of the increased awareness of phishing attacks and try to build trust initially before sending the actual malware. Before you click on a link, hover your mouse over it to see the actual destination. If the URL differs from the official domain (e.g., wetransfer.com instead of wetransfer-security[.]top), it’s a scam. It’s important to recognize even minor discrepancies (such as “rnicrosoft.com” instead of “microsoft.com”).

3. Double-check attachments and downloads

Do not open unexpected file types from emails, even if the sender appears to be trustworthy. Files with extensions such as ‘.zip’, .lnk, .vbs, .js, or .exe are particularly suspicious—a file named “application.pdf.lnk” is not a PDF, but an executable file!

4. Enable showing file extensions

In Windows, file extensions are hidden by default. Enable this option in Folder Options to immediately see whether a file is actually a PDF or an executable file.

Within Windows, you can set file extensions to be displayed by default. These settings are configured in the menu via the following sequence: View->Show->File name extensions:

5. Set up an internal reporting chain

Establish a simple way to report suspicious emails (e.g., a dedicated email address such as phishing@[company].de). This allows you to warn other colleagues and enables the IT department to respond quickly.

6. Carefully check sender addresses

Look for even minor differences in the email address (e.g., microsoft.com vs. microsoft-support.com or rnicrosoft.com). Often, only a single letter is swapped or a number is added.

The wave of attacks shows that attackers now no longer shy away from exploiting other people's emergencies and are also targeting facilities that have traditionally been outside the typical attack radar. Women's shelters process highly sensitive data, and that is precisely what makes them attractive to extortionists, regardless of their financial situation.

The good news: The attack follows a clearly recognizable pattern. Those who know the indicators can detect it and respond. Technical protective measures alone are not sufficient here, what is crucial is that all employees know what a suspicious email looks like and how to respond if in doubt.

Here you can find a checklist and the Loki.exe!

The Blue Team at Security Research Labs will update this article as new findings emerge.