Neuer Erpresservirus Goldeneye bedroht Personalabteilungen

Neuer Erpresservirus Goldeneye bedroht Personalabteilungen

In letzter Zeit war es etwas ruhiger geworden um Verschlüsselungstrojaner wie Petya, Locky und Co. Doch seit Anfang dieses Monats ist eine neue Variante der Erpresserviren im Umlauf: Er heißt Goldeneye, zielt vor allem auf Personalverantwortliche und versteckt sich im Anhang von Bewerbungen.

Schadcode im Gewand von vermeintlichen Bewerbungen gab es zwar schon öfter, doch sind die Schreiben aktuell äußerst professionell gestaltet. Außerdem beziehen sie sich auf tatsächliche Stellenausschreibungen der jeweiligen Unternehmen. Auch der zuständige Personalverantwortliche wird gezielt angeschrieben und namentlich korrekt angesprochen. Das macht es sehr schwer, eine mögliche Bedrohung zu erkennen.

Im Anhang der vermeintlichen Bewerbungsmail befindet sich eine Excel-Datei mit angeblichen Details zum Bewerber. Öffnet der Empfänger die Datei, wird er zum Aktivieren der Bearbeitungsfunktionen des Dokuments aufgefordert, um das Kompetenzprofil des Bewerbers einsehen zu können. Viele Office-Benutzer dürften dabei keinen Verdacht schöpfen, da Word- oder Excel-Dokumente oft standardmäßig im Lesemodus geöffnet werden und die Bearbeitungsfunktionen manuell eingeschaltet werden müssen.

Stimmt der Empfänger hier aber der Aktivierung zu, nimmt das Unheil unaufhaltsam seinen Lauf, denn damit werden Makros ausgeführt, die den Verschlüsselungsvorgang unwiderruflich starten. Dieser Prozess lässt sich nicht mehr stoppen und mündet in einer Lösegeldforderung. Gefordert werden 1,33 Bitcoin, was ca. 940€ entspricht.

Als Absender der E-Mail tritt häufig ein so genannter Rolf Drescher mit verschiedenen E-Mail-Adressen nach dem Muster rolf.drescher@ in Erscheinung. Dahinter verbirgt sich aller Wahrscheinlichkeit nach eine Racheaktion, denn die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner hatte Entschlüsselungstools für durch den Trojaner Petya verschlüsselte Daten angeboten. Von dieser Sozietät wurden die Bewerbungsmails im Namen “Rolf Drescher” aber nicht verschickt.

Noch ungeklärt ist derzeit, inwieweit die Erpresser Daten missbraucht haben, die von der Bundesagentur für Arbeit stammen. Berichten betroffener Personaler zufolge haben die Kriminellen Daten und E-Mail-Adressen genutzt, die zu dem Zeitpunkt nur der Bundesagentur für Arbeit bekannt waren. Gesicherte Beweise gibt es gegenwärtig jedoch nicht.

Derzeit ist also allerhöchste Vorsicht beim Eingang von Bewerbungsschreiben geboten, zumal noch kein Entschlüsselungstool vorliegt, mit dem sich die in den Fängen von Goldeneye befindlichen Daten wieder entschlüsseln lassen.

Quellen:
Goldeneye Ransomware greift gezielt Personalabteilungen an (heise.de)
Aufgepasst: Neuer Verschlüsselungstrojaner Goldeneye verbreitet sich rasant (heise.de)
Goldeneye Ransomware: Die Bedrohung erkennen, Mitarbeiter warnen, Infektion verhindern (heise.de)
Goldeneye nutzt Informationen vom Arbeitsamt für äußerst gezielte Angriffe (heise.de)

Share this post

Leave a Reply

Your email address will not be published. Required fields are marked *