Die Ransomware GoldenEye trieb im Dezember weiterhin ihr Unwesen bei deutschen Firmen. Betroffen waren vor allem Personalabteilungen von Unternehmen, wo GoldenEye sich als Bewerbung tarnte, die per Phishing-Mails bei der HR-Abteilung einging und in deren Anhang der Trojaner mitgesendet wurde. In Personalabteilungen ist es gang und gäbe, dass Bewerbende ihre Dokumente als Anhang mitschicken. Die Gefahr, sich mit GoldenEye zu infizieren, war dort dementsprechend hoch. Viele Personalabteilungen großer Unternehmen können es sich zu Stoßzeiten und Bewerbungsphasen gar nicht zeitlich leisten, strikte Spamfilter zu nutzen. Dem zugrunde liegt, dass niemand wissen kann, von wem eine Bewerbung kommt, welche Anhänge verwendet werden und wie die E-Mail aufgebaut ist. Kurzum: Eine effektive Filterung von E-Mails an Personalabteilungen ist schwierig, es müssen andere Mechanismen zur Sicherung greifen.
Der Prozess, mit dem GoldenEye Rechner infizierte, war so einfach, wie gefährlich. Wir haben oftmals darauf hingewiesen, dass Makro-Malware seit einiger Zeit eine Renaissance erlebt und Schritte aufgezeigt, wie man sich schützt. Beim Öffnen des Anhangs der Infizierungsmail öffnete sich eine Excel-Datei, die den User aufforderte, die Bearbeitungsfunktion auszuführen. Durch das Aktivieren der Makros in der schadhaften Excel wurden zwei ausführbare Dateien zusammengesetzt und ausgeführt, die Daten auf der Festplatte des infizierten Rechners verschlüsselten.
Dass immer noch viele Nutzer auf angeblich ungefährliche Anhänge mit Payload reinfallen, ist leider die Wahrheit. Im Falle von GoldenEye waren dafür weniger arglose Nutzer verantwortlich als eine außerordentlich perfide Methode der Erpresser, die ihresgleichen sucht. Die E-Mail-Bewerbung mit dem schadhaften Anhang war in fehlerfreiem Deutsch verfasst, stammte von einem tatsächlich existierenden Absender und nahm Bezug auf aktuelle Stellenausschreibungen des betreffenden Unternehmens. Zusätzlich dazu enthielt die mitgesendete Excel das Logo der Bundesagentur für Arbeit, welches die gesamte Phishing-Mail noch plausibler aussehen ließ.
Der Absender, eine Unternehmensberatung aus der Nähe von Ansbach, hatte im vergangenen Jahr eine Anleitung veröffentlicht, um die damals grassierenden Erpressungstrojaner Petya und Mischa loszuwerden. Laut Recherchen von c‘t könnte GoldenEye von den gleichen Erpressern stammen und eine Racheaktion für die Hilfestellung des Unternehmens sein.
Beunruhigend ist auch, dass offenbar viele E-Mail-Adressen der Personalabteilungen, die Phishing-Mails von GoldenEye empfingen, aus Datenbanken der Bundesagentur für Arbeit stammen und teilweise ausschließlich zur Kommunikation mit den Behörden genutzt wurden. Ein Datenleck wird von Seiten der Bundesagentur weiterhin dementiert. Auffällig war in den ersten Tagen der GoldenEye-Angriffe zudem, dass viele gängige Virenscanner die Signaturen der EXE-Dateien in den Mail-Anhängen nicht erkannten.
Hier kam es dann auf die Heuristik der Schutzmaßnahmen der Unternehmen an. Erfreulich ist, dass – ähnlich wie beim Trojaner Petya – die Heuristiken von F-Secure die Bedrohung erkannten, ohne dass GoldenEye zuvor registriert worden war. In Zeiten, in denen tausende Malware-Samples ihren Weg in die F-Secure Labs finden, ist es eine beruhigende Tatsache, dass moderne heuristische Bewertungsmethoden Angriffe verhindern, ohne dass ein Sample bereits vollständig analysiert wurde.
Kategorien