In letzter Zeit war es etwas ruhiger geworden um die so genannten Verschlüsselungstrojaner wie z.B. Petya, Locky und TeslaCrypt. Doch seit Anfang Dezember ist eine neue Variante dieser Erpresserviren im Umlauf: Goldeneye zielt vor allem auf Personalverantwortliche und versteckt sich im Anhang von Bewerbungen.

Schadcode im Gewand von vermeintlichen Bewerbungen gab es zwar schon öfter, doch sind die Schreiben aktuell äußerst professionell gestaltet und beziehen sich auf tatsächliche Stellenausschreibungen der jeweiligen Unternehmen. Auch der zuständige Personalverantwortliche wird gezielt angeschrieben und namentlich korrekt angesprochen. Das macht es extrem schwer, die mögliche Bedrohung zu erkennen.

Im Anhang der vermeintlichen Bewerbungsmail befindet sich eine Excel-Datei mit angeblichen Details zum Bewerber. Öffnet der Empfänger die Datei, wird er zum Aktivieren der Bearbeitungsfunktionen des Dokuments aufgefordert, um das Kompetenzprofil des Bewerbers einsehen zu können. Viele Office-Anwender dürften dabei keinen Verdacht schöpfen, da Word- oder Excel-Dokumente nicht selten standardmäßig im Lesemodus geöffnet werden und man die Bearbeitungsfunktionen manuell einschalten muss.

Stimmt der Empfänger hier aber der Aktivierung zu, nimmt das Unheil unaufhaltsam seinen Lauf, denn damit werden Makros ausgeführt, die den Verschlüsselungsvorgang unwiderruflich starten. Dieser Prozess lässt sich nicht mehr stoppen und mündet in einer Lösegeldforderung. Gefordert werden 1,33 Bitcoin, was ca. 940€ entspricht.

Als Absender der E-Mail tritt häufig ein so genannter Rolf Drescher mit verschiedenen E-Mail-Adressen nach dem Muster rolf.drescher@ in Erscheinung. Dahinter verbirgt sich aller Wahrscheinlichkeit nach eine Racheaktion, denn die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner hatte Entschlüsselungstools für durch den Trojaner Petya verschlüsselte Daten angeboten. Von dieser Sozietät wurden die Bewerbungsmails im Namen "Rolf Drescher" aber nicht verschickt.

Noch ungeklärt ist derzeit, inwieweit die Erpresser Daten missbraucht haben, die von der Bundesagentur für Arbeit stammen. Berichten betroffener Personaler zufolge haben die Kriminellen Daten und E-Mail-Adressen genutzt, die zu dem Zeitpunkt nur der Bundesagentur für Arbeit bekannt waren. Gesicherte Beweise gibt es gegenwärtig jedoch nicht.

Derzeit ist also allerhöchste Vorsicht beim Eingang von Bewerbungsschreiben geboten, zumal noch kein Entschlüsselungstool vorliegt, mit dem sich die in den Fängen von Goldeneye befindlichen Daten wieder entschlüsseln lassen.

Quellen:
Goldeneye Ransomware greift gezielt Personalabteilungen an (heise.de)
Aufgepasst: Neuer Verschlüsselungstrojaner Goldeneye verbreitet sich rasant (heise.de)
Goldeneye Ransomware: Die Bedrohung erkennen, Mitarbeiter warnen, Infektion verhindern (heise.de)
Goldeneye nutzt Informationen vom Arbeitsamt für äußerst gezielte Angriffe (heise.de)