Universität Hamburg - der Forschung, der Lehre, der Bildung, zur Homepage
RRZ
Regionales
Rechenzentrum

Foto: UHH/RRZ/Mentz

ACHTUNG! Neue Emotet-Welle in Kombination mit mehreren Phishing-Wellen erreichen die UHH

1. März 2022, von ServiceLine

Seit gestern Abend erreichen die UHH erneut Phishing-Mails unterschiedlichen Inhalts und mit verschiedenen Links auf Webmail- und Outlook-Phishing-Seiten. Gleichzeitig gehen vermehrt E-Mails ein, die eine Excel-Datei mit einem vorgeblichen "Zahlungsschreiben" enthalten. Bei der Excel-Datei handelt es sich um eine Datei mit der Endung .xlsm, also um eine Excel-Datei mit einem Makro, einem ausführbaren Programm.

Beim Öffnen der Excel-Datei wird zunächst kein relevanter Inhalt angezeigt, sondern in der ersten Zeile ein Bild eingeblendet, das die Aktivierung von Makros erklärt.

ACHTUNG! Bitte folgen Sie dieser Aufforderung auf keinen Fall. Aktivieren Sie niemals die Makrofunktion, wenn Sie vom Absender kein Excel mit Makros erwarten. Fragen Sie im Zweifel beim Absender nach, was es mit diesem Excel (oder jeder anderen Office-Datei mit Makros) auf sich hat.

Wenn Sie die Makrofunktion aktivieren, versucht das Programm von verschiedenen vorgegebenen Adressen eine Windows-DLL namens dan.ocx herunterzuladen. Diese enthält die eigentliche Schadsoftware.

Zum Zeitpunkt der Erstellung dieser Meldung wird weder die Excel-Datei noch die DLL-Datei von Sophos erkannt. Wir bitten daher um erhöhte Aufmerksamkeit.

Sollten Sie bereits die Makrofunktion aktiviert und damit die Schadsoftware heruntergeladen haben, dann gilt Ihr Endgerät als kompromittiert. Bitte trennen Sie dieses unmittelbar von allen Netzwerkverbindungen (LAN und WLAN) und konsultieren Sie die RRZ-Serviceline oder Ihren lokalen IT-Support. Da wir derzeit nichts Näheres über die installierte Schadsoftware wissen, empfehlen wir grundsätzlich eine Neuinstallation Ihres Endgerätes. Bitte ändern Sie auch unbedingt das Passwort für Ihre B-Kennung über die Benutzerverwaltung unter https://bv.uni-hamburg.de von einem garantiert nicht infizierten Gerät, z.B. Ihrem Smartphone.

In diesem Zusammenhang möchten wir auch auf unsere Handreichung zur Schadsoftware Emotet aus dem Jahr 2020 verweisen: https://www.rrz.uni-hamburg.de/services/sicherheit/20200325-emotet-de.pdf.

Die parallel eingehenden Phishingmails deuten auf eine größere Angriffswelle hin und die RRZ-ServiceLine hat auch bereits einige Rückmeldungen über erfolgreich abgephishte Passwörter erhalten. Die Mails sehen nicht sehr authentisch aus und stammen alle von externen Absendern.

Sollten Sie einem der enthaltenen Links gefolgt sein und Ihre Zugangsdaten auf einer der Phishingseiten eingegeben haben, so ändern Sie bitte unmittelbar das Passwort für Ihre B-Kennung über die Benutzerverwaltung unter https://bv.uni-hamburg.de.

Wir bitten um erhöhte Aufmerksamkeit!

Folgen Sie den Links in solchen Mails grundsätzlich nicht und geben Sie Ihre Zugangsdaten nicht auf unbekannten Seiten ein. Achten Sie immer darauf, dass die Domain, auf der Sie Ihre Zugangsdaten eingeben, auf uni-hamburg.de endet (vor dem ersten '/' in der Adresszeile). Wenn Sie den Verdacht haben, Opfer einer Phishing-Attacke geworden zu sein, so ändern Sie bitte umgehend Ihr Passwort über die Benutzerverwaltung unter https://bv.uni-hamburg.de. Die Änderung von Passwörtern ist nur über diesen Weg möglich. Bei Fragen wenden Sie sich bitte an die RRZ-ServiceLine.