Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Mitarbeiter in Personalabteilungen, aber nicht nur die­se, soll­ten aktu­ell auf der Hut sein. Ein neu­er Kryptotrojaner namens “Goldeneye” (mög­li­cher­wei­se eine Anlehnung an die schlag­kräf­ti­ge Waffe in dem gleich­na­mi­gen James Bond Film) ist unter­wegs und nimmt gezielt Personalabteilungen ins Visier. Die als Bewerbung getarn­te Email ent­hält eine XLS Tabelle. Wird die­se geöff­net und die Sicherheitsabfrage zur Aktivierung der “Bearbeitungsfunktion” (gemeint ist die Ausführung von Makros) bejaht, geht der bereits von ande­rer Ransomware bekann­te Ablauf los. Da es sich bei Goldeneye augen­schein­lich um einen Ableger von Petya han­delt, einem zuvor bereits akti­ven Verschlüsselungstrojaner, wird das System zu einem Neustart gezwun­gen und dar­auf­hin die Verschlüsselung begon­nen (der Betrachter sieht der­weil einen Bildschirm, der an die Anzeige des Betriebssystemtools Chkdsk erinnert).

Mittlerweile hängt zahl­rei­chen Emails noch ein zusätz­li­ches PDF an. Email-Text und PDF-Inhalt sind in ein­wand­frei­em Deutsch ver­fasst und gau­keln eine Bewerbung vor. Wie heise.de berich­tet, wer­den teil­wei­se sogar aktu­el­le Stellenausschreibungen der betrof­fe­nen Organisation erwähnt. Weiterhin wer­den in Teilen nur orga­ni­sa­ti­ons­in­ter­ne Email-Adressen ange­spro­chen, inter­ne Ansprechpartner und Rufnummern genannt, die in der Form nicht frei ver­füg­bar sind. Die Versender müs­sen dem­nach eini­ges an Aufwand betrie­ben haben, um die Daten für eine so ziel­ge­rich­te­te Kampagne zu beschaf­fen. Da die ange­häng­te XLS Tabelle regel­mä­ßig geän­dert wird, tun sich vie­le Virenscanner zur Zeit noch sehr schwer.

Als Absender fun­giert iro­ni­scher­wei­se eine Email-Adresse eines Unternehmens, das unter ande­rem Entschlüsselungshilfe für von Petya betrof­fe­ne Organisationen anbie­tet. Sowohl das Unternehmen, die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner  als auch der Träger des Absendernamens “Rolf Drescher” beteu­ern nach­voll­zieh­bar, mit die­ser Angriffswelle nichts zu tun zu haben. Es wird viel­mehr ein Racheakt ver­mu­tet, da sich Goldeneye und Petya sehr ähn­lich sind. Aufgrund der vie­len Anfragen und Beschwerden wur­den die Arbeitsabläufe der Ingenieursozietät bereits stark beein­träch­tigt. Ob auch wei­te­re Email-Adressen für den Versand genutzt wur­den, ist zur Zeit nicht bekannt.

Nach Meldungen von heise.de sind akut betrof­fen Windows 7, Windows 10 und Server 2008. Die Schadroutine scheint auf Windows Server 2012 nicht zu funk­tio­nie­ren. Verlassen soll­te man sich dar­auf jedoch nicht. Auch zur Verschlüsselung von Dateien auf Netzfreigaben gibt es unter­schied­li­che Aussagen, ob die­se von “Goldeneye” erreicht wer­den oder nicht.

Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter zeit­nah für die­se aktu­el­le Bedrohung. Sie soll­ten sich dabei nicht auf Mitarbeiter im Personalbereich beschrän­ken. Auch wenn Inhalt und Aufmachung der Email, gera­de durch die Nennung nur orga­ni­sa­ti­ons­in­ter­ner Fakten, noch so ver­trau­ens­wür­dig erschei­nen, es ist erhöh­te Aufmerksamkeit geboten.

Update 08.1216:

Anscheinend bedie­nen sich die Macher von Goldeneye an Daten der Bundesagentur für Arbeit, um ihren Kryptotrojaner samt Text so pas­send wie mög­lich auf die Zielorganisation zuzu­schnei­den. Dabei wer­den Daten ver­wen­det, die nicht den öffent­li­chen Stellenausschreibungen der Agentur zu ent­neh­men sind, son­dern aus dem inter­nen Bereich stam­men. Laut heise.de hat die Agentur dazu bis­her auf mehr­ma­li­ge Nachfragen kei­ne Stellung bezo­gen, son­dern ledig­lich auf die unrecht­mä­ßi­ge Verwendung des Agentur-Logos in den der Anfrage bei­ge­füg­ten Screenshots hingewiesen.

Wir hal­ten Sie informiert.

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.