by: Sascha KuhrauPosted on:

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Mit­ar­bei­ter in Per­so­nal­ab­tei­lun­gen, aber nicht nur die­se, soll­ten aktu­ell auf der Hut sein. Ein neu­er Kryp­to­tro­ja­ner namens “Gol­de­neye” (mög­li­cher­wei­se eine Anleh­nung an die schlag­kräf­ti­ge Waf­fe in dem gleich­na­mi­gen James Bond Film) ist unter­wegs und nimmt gezielt Per­so­nal­ab­tei­lun­gen ins Visier. Die als Bewer­bung getarn­te Email ent­hält eine XLS Tabel­le. Wird die­se geöff­net und die Sicher­heits­ab­fra­ge zur Akti­vie­rung der “Bear­bei­tungs­funk­ti­on” (gemeint ist die Aus­füh­rung von Makros) bejaht, geht der bereits von ande­rer Ran­som­wa­re bekann­te Ablauf los. Da es sich bei Gol­de­neye augen­schein­lich um einen Able­ger von Petya han­delt, einem zuvor bereits akti­ven Ver­schlüs­se­lungs­tro­ja­ner, wird das Sys­tem zu einem Neu­start gezwun­gen und dar­auf­hin die Ver­schlüs­se­lung begon­nen (der Betrach­ter sieht der­weil einen Bild­schirm, der an die Anzei­ge des Betriebs­sys­tem­tools Chkdsk erin­nert).

Mitt­ler­wei­le hängt zahl­rei­chen Emails noch ein zusätz­li­ches PDF an. Email-Text und PDF-Inhalt sind in ein­wand­frei­em Deutsch ver­fasst und gau­keln eine Bewer­bung vor. Wie heise.de berich­tet, wer­den teil­wei­se sogar aktu­el­le Stel­len­aus­schrei­bun­gen der betrof­fe­nen Orga­ni­sa­ti­on erwähnt. Wei­ter­hin wer­den in Tei­len nur orga­ni­sa­ti­ons­in­ter­ne Email-Adres­sen ange­spro­chen, inter­ne Ansprech­part­ner und Ruf­num­mern genannt, die in der Form nicht frei ver­füg­bar sind. Die Ver­sen­der müs­sen dem­nach eini­ges an Auf­wand betrie­ben haben, um die Daten für eine so ziel­ge­rich­te­te Kam­pa­gne zu beschaf­fen. Da die ange­häng­te XLS Tabel­le regel­mä­ßig geän­dert wird, tun sich vie­le Viren­scan­ner zur Zeit noch sehr schwer.

Als Absen­der fun­giert iro­ni­scher­wei­se eine Email-Adres­se eines Unter­neh­mens, das unter ande­rem Ent­schlüs­se­lungs­hil­fe für von Petya betrof­fe­ne Orga­ni­sa­tio­nen anbie­tet. Sowohl das Unter­neh­men, die Inge­nieurso­zie­tät Dipl.- Ing. Rolf B. Dre­scher VDI & Part­ner  als auch der Trä­ger des Absen­der­na­mens “Rolf Dre­scher” beteu­ern nach­voll­zieh­bar, mit die­ser Angriffs­wel­le nichts zu tun zu haben. Es wird viel­mehr ein Rache­akt ver­mu­tet, da sich Gol­de­neye und Petya sehr ähn­lich sind. Auf­grund der vie­len Anfra­gen und Beschwer­den wur­den die Arbeits­ab­läu­fe der Inge­nieurso­zie­tät bereits stark beein­träch­tigt. Ob auch wei­te­re Email-Adres­sen für den Ver­sand genutzt wur­den, ist zur Zeit nicht bekannt.

Nach Mel­dun­gen von heise.de sind akut betrof­fen Win­dows 7, Win­dows 10 und Ser­ver 2008. Die Schad­rou­ti­ne scheint auf Win­dows Ser­ver 2012 nicht zu funk­tio­nie­ren. Ver­las­sen soll­te man sich dar­auf jedoch nicht. Auch zur Ver­schlüs­se­lung von Datei­en auf Netz­frei­ga­ben gibt es unter­schied­li­che Aus­sa­gen, ob die­se von “Gol­de­neye” erreicht wer­den oder nicht.

Bit­te sen­si­bi­li­sie­ren Sie Ihre Mit­ar­bei­ter zeit­nah für die­se aktu­el­le Bedro­hung. Sie soll­ten sich dabei nicht auf Mit­ar­bei­ter im Per­so­nal­be­reich beschrän­ken. Auch wenn Inhalt und Auf­ma­chung der Email, gera­de durch die Nen­nung nur orga­ni­sa­ti­ons­in­ter­ner Fak­ten, noch so ver­trau­ens­wür­dig erschei­nen, es ist erhöh­te Auf­merk­sam­keit gebo­ten.

Update 08.1216:

Anschei­nend bedie­nen sich die Macher von Gol­de­neye an Daten der Bun­des­agen­tur für Arbeit, um ihren Kryp­to­tro­ja­ner samt Text so pas­send wie mög­lich auf die Ziel­or­ga­ni­sa­ti­on zuzu­schnei­den. Dabei wer­den Daten ver­wen­det, die nicht den öffent­li­chen Stel­len­aus­schrei­bun­gen der Agen­tur zu ent­neh­men sind, son­dern aus dem inter­nen Bereich stam­men. Laut heise.de hat die Agen­tur dazu bis­her auf mehr­ma­li­ge Nach­fra­gen kei­ne Stel­lung bezo­gen, son­dern ledig­lich auf die unrecht­mä­ßi­ge Ver­wen­dung des Agen­tur-Logos in den der Anfra­ge bei­gefüg­ten Screen­shots hin­ge­wie­sen.

Wir hal­ten Sie infor­miert.