Angriff auf deutsche Firmen: Goldeneye Ransomware in E-Mails an die Personalabteilungen

In der vergangenen Woche wurden Firmen, welche bei der Jobbörse der Bundesagentur für Arbeit Stellen angeboten haben, gezielt Opfer von Cyber-Kriminellen. In ansprechend geschriebenen Mails in perfektem Deutsch bewarb sich ein Herr „Rolf Drescher“ auf die jeweils ausgeschriebenen Stellen.

Unschuldig wirkende Bewerbungen mit gefährlichem Schadcode

Firmenanschrift, Ansprechpartner, E-Mail-Adresse und Betreff „Bewerbung als …“ waren korrekt. Im kurzen Mailtext wurde auf die beiliegenden Bewerbungsunterlagen verwiesen. Die PDF-Datei enthielt das recht ansprechende Bewerbungsschreiben. Auf der letzten Seite wurde auf den Lebenslauf, die Arbeitszeugnisse und das Kompetenzprofil der Arbeitsagentur in der beiliegenden Excel-Datei verwiesen.

Beim Öffnen der Excel-Datei wurde das Logo der Arbeitsagentur dargestellt. Dazu erschien der Hinweis: „Bitte aktivieren Sie die Bearbeitungsfunktion um das Kompetenzprofil anzuzeigen.

Bei der Aktivierung wurde ein in der Excel-Datei enthaltenes Macro ausgeführt, welches das Verschlüsselungsprogramm installierte. Danach begann das Schadprogramm seine Tätigkeit. Ziel ist die Verschlüsselung von Dateien und eine folgende Lösegeldforderung von rund 940 Euro.

Unternehmen werden gezielt erpresst

Beim Auftreten des Schädlings erkannten nur 20 % der Antivirenprogramme den Schädling. Das änderte sich zwar meist in den nächsten Stunden nach Ausbruch, kam aber für viele zu spät.

In den beiden uns bekannten Fällen kam es nicht zum Schlimmsten. Die Betroffenen, die irgendwie Verdacht gefasst hatten, kontaktierten Ihren Systembetreuer. Dieser empfahl, unbedingt alle PCs und Server unverzüglich herunter zu fahren. Damit konnte der Schädling zwar die Verschlüsselung in rasantem Tempo beginnen, aber nicht zu Ende führen. Die Beseitigung des Schädlings, die Aktualisierung der Schutzprogramme, die folgende Analyse des Schadens und die Wiederherstellung der Daten dauerte je nach Umfang zwischen 7 Stunden bis zwei Tage. Es wurden Dateien vom Typ DOC, XLS, PDF und JPG verschlüsselt.

Wie Sie sich schützen können

Informationen gegen Goldeneye finden Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) oder bei Heise Security. Sie können sich auch direkt an uns wenden:

    (* = Pflichtfeld)

    Ihre Angaben:

    Bitte sorgfältig ausfüllen.

    HerrFrauHallo

    Ihr Anliegen:

    * beinhaltet: kostenlose oder vergünstigte Werbemöglichkeiten sowie Teilnahme an Trainings und Weiterbildungen; Teilnahme an Konferenzen; Sonderkonditionen bei Vertragspartnern; exklusive Newsletter

    Unsere Partner beim BDS leiten Sie an IT-Profis weiter, falls Sie Sorge haben, dass Sie auch infiziert wurden.

    Dass in Zeiten fehlender Fachkräfte gerade Personalverantwortliche in das Visier der Erpresser geraten, ist nicht außergewöhnlich. Wichtig sind in jedem Falle eine Mischung aus technischen und organisatorischen Maßnahmen. Aber auf alle Fälle gilt: Backup ist Pflicht! Und das ist nicht gerade neu.