Ransomware Goldeneye zielt auf Personalabteilungen

Achtung, seit dem frühen Morgen (4 Uhr, 6.12.2016) läuft eine Ransomware-Kampagne, die gezielt auf Personalabteilungen in Unternehmen abzielt. Ein Verschlüsselungstrojaner Goldeneye kommt in einem Anhang zu einer Bewerbungs-Mail.


Anzeige

Was waren das noch Zeiten, als Bewerbungen per Post auf Briefpapier an Personaler verschickt wurden. Heute kommen Bewerbungen per E-Mail und die Unterlagen stecken in Dateianhängen. Genau dies machen sich Cyber-Kriminelle in der neuesten Ransomware-Kampagne zunutze.

Fehlerfrei verfasste "Bewerbung"

Die Empfänger in den deutschen Personalabteilungen erhalten eine vorgebliche Bewerbungsmail, der eine Excel XLS-Datei Bewerbung ….xls angehängt ist.

E-Mail mit Ransomware
(Quelle: Bleeping Computer)

Die Namen der XLS-Anhänge wechseln dabei (Bleeping Computer gibt folgende Dateinamen an: Wiebold-Bewerbung.xls, Meinel-Bewerbung.xls, Seidel-Bewerbung.xls, Wüst-Bewerbung.xls, Born-Bewerbung.xls, Schlosser-Bewerbung.xls etc.). Als Absender scheint eine Variation der Mail-Adresse rolf.drescher@… zu fungieren. Dies ist aber eine gefälschte Absenderangabe. Bei heise.de spekuliert man hier, dass es sich um eine Racheaktion handeln könnte, da das Ingenieurbüro von Rolf Drescher Hilfe zur Entschlüsselung per Petya-Trojaner verschlüsselter Datenträger anbietet.

In der Bewerbungsmail Mail wird darauf hingewiesen, das die Details der Bewerbung in der anhängenden Excel-Datei Datei zu finden seien.

Excel-Dokument
(Quelle: malwr.com)

Öffnet der Empfänger die Excel-Datei, wird er aufgefordert, diese zur Bearbeitung freizugeben (siehe obiger Screenshot). Bei malwr.com finden sich Hinweise zu diesem Mail-Anhang. Zwischenzeitlich gibt es von CERT-Bund eine Warnung per Twitter.


Anzeige

Bei heise.de schreibt man hier, dass die Mails wohl personalisiert seien und auf existierende Stellenanzeigen Bezug nehmen. Zudem werden wohl E-Mail-Adressen von Empfängern verwendet, die in den Stellenanzeigen nicht aufgeführt werden. Das bedeutet, dass die Cyber-Kriminellen das Umfeld der Personalabteilungen der jeweiligen Empfängerfirmen ausgekundschaftet haben müssen. Wie genau, ist noch unbekannt (es gibt hier wohl den Verdacht, dass öffentliche Datenbanken der Arbeitsagentur verwendet wurden). Nachtrag: heise.de berichtet, dass Goldeneye gezielt Daten der Arbeitsagentur für die Ansprache der E-Mail-Empfänger nutzt.

Bei heise.de findet sich die Rückmeldung von Lesern, dass der E-Mail in einigen Fällen noch eine PDF-Datei beilag, die wie eine legitime Bewerbung auf eine Stellenausschreibung wirke. Auch gibt es Berichte von Lesern (hier und hier), dass in der PDF-Datei die Empfänger mit korrektem Namen angesprochen werden und deren Telefonnummer genannt sei. Es müssen also detaillierte Informationen vorliegen und der Aufwand, den die Kriminellen betreiben, ist wohl recht hoch.

Makro mit Schadfunktion startet Verschlüsselungstrojaner

Kommt der Benutzer dieser Aufforderung nach, wird die Makroausführung in Excel aktiviert. Dann erzeugt ein Schadmakro wohl zwei .exe-Dateien, die ausgeführt werden und Dokumente auf dem System des Benutzers verschlüsseln. Dabei gibt es Berichte, dass die Verschlüsselung nach einem erzwungenen Neustart erfolgt. Bei Bleeping Computer findet sich der Hinweis, dass erst verschlüsselt werde, und dann versucht wird, einen neuen Master Boot Record zu schreiben. Deckt sich auch mit diesem Bericht. Einige Betroffene konnten den Rechner abschalten, so dass nicht alles verschlüsselt wurde – hier gibt es einen Erfahrungsbericht.

Der genaue Ablauf ist aber auch egal – sobald verschlüsselt wurde, findet der Geschädigte entsprechende Hinweise auf seiner Festplatte. Auf Trojanerboard.de hat ein Betroffener folgende Meldung der Ransomware gepostet:

You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https: // www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
hxxp:// golden5a4eqranh7 dot onion/pktumvk3
hxxp://goldeny4vs3nyoht dot .onion/pktumvk3
3. Enter your personal decryption code there:
pktumvk3WGLcmArQ23vMpLiKGedtWZF….

Die Erpresser geben dem Opfer vor, sich per Tor-Browser an einer aufgesetzten Webseite anzumelden und den vom Trojaner generierten Decryption-Code einzugeben. Auf den genannten Webseiten wird dann  wohl die Lösegeldsumme genannt, die zur Entschlüsselung der Daten zu zahlen ist. Bei Bleeping Computer finden sich weitere Hinweise und Screenshots. Dort werden in einem Screenshot 1,33… Bitcoins (ca. 950 Euro) gefordert. Ob es nach Zahlung einen Entschlüsselungscode gibt, ist aber fraglich.

Betroffene Systeme

Laut diesem Tweet des Malware-Hunter-Teams hat es in Deutschland am Nikolaustag wohl um die 160 Firmen getroffen, während der Verschlüsselungstrojaner Locky in den besten Tagen in über 30 Ländern wohl nur 375 Nutzer überrumpeln konnte.

Die Leute messen wohl, wie oft Betroffene eine Analyse des Schädlings zur Identifizierung hochgeladen haben (die Zahlen können also verfälscht sein und die Dunkelziffer mag höher liegen).

Aktuell scheinen aber bereits einige Virenscanner den Schadcode zu erkennen (siehe Virustotal). Viele Virenscanner haben den Schädling aber noch nicht in ihrer Signaturdatenbank. Allerdings gibt es Hinweise von AV-Testlabor.de, dass die XLS-Datei wohl ständig modifiziert werde, um die Erkennung von AV-Scannern auszutricksen.

Wie heise.de schreibt, sind wohl Rechner mit Windows 7, Windows 10 und Windows Server 2008 anfällig für die Schadsoftware. Unter Windows Server 2012 soll laut heise.de die Verschlüsselung derzeit nicht zu funktionieren. In diesem Kommentar wird aber ausgeführt, dass die Verschlüsselung auch unter Windows Server 2012 R2 funktioniere.

Die Abhilfe dürfte in Firmenumgebungen die Deaktivierung von Makros für Office sein (Office 2007, Office 2016, Hinweis bei administrator.de, Makros per GPO blocken, Beitrag bei heise.de) zumal die Makros für interne Dokumente ja in Ordner gelegt werden können, die über vertrauenswürdige Pfade zur Ausführung festgelegt werden können.

Administratoren in Firmen könnten sich diesen Kommentar bei heise.de im Forum ansehen. Dort werden einige Maßnahmen vorgeschlagen, wie man das Thema E-Mail mit Anhang entschärfen kann.

Ähnliche Artikel:
Malware-Warnung vor "Cyber-Abteilung Polizei"-Mails
Kangaroo Ransomware verschlüsselt und sperrt aus
Betrüger (Scammer) setzen auf Ransomware
Decryptor für Crysis-Ransomware von ESET
Neues zu Ransomware: Locky-Variante und PrincessLocker
Facebook-Ransomware kommt als .svg-Bild getarnt
Karma-Ransomware kommt als PUP im Beipack mit Software
Neues: Ransomware Hades Locker & FileiceRansomware
Der Einfluss von Ransomware-Angriffen auf Unternehmen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.