Goldeneye – neuer Cryptovirus zielt auf Personalabteilungen

Seit einigen Tagen verbreitet sich ein neuer Cryptovirus namens Goldeneye in deutschen Unternehmen.

Goldeneye tarnt sich sehr geschickt als Bewerbung

Die Verbreitung erfolgt per E-Mail und auch die Masche an sich ist nicht neu. So tarnt sich die Mail als Bewerbung und spricht gezielt Personalabteilungen an.
Neu ist dabei die Detailtiefe mit der die Anschreiben an bestehende Stellenausschreibungen angepasst sind.

Bisher gab es zwar immer wieder Schadsoftware, die sich als Bewerbung tarnte, doch waren dabei die Anschreiben meist allgemein gehalten. Auf den ersten Blick sah das passend aus, aber es fehlten ein genauer Bezug zur Stellenanzeige oder Details zur Branche. Auch die Schadsoftware war als .zip-Datei bei einem Filehoster für den geübten Beobachter schnell zu erkennen.
Es ist anzunehmen, dass damals nur Stellenbörsen gescannt und daraus die Mailadressen und Ansprechpartner gescannt wurden.

In diesem Punkt haben die Entwickler bei Goldeneye erheblich dazu gelernt und scheinen zudem über zusätzliche Informationen aus den Personalabteilungen zu verfügen. Denn die Presse berichtet, dass teilweise auch Mailadressen angesprochen werden, die nicht in Stellenanzeigen vermerkt sind.
Die eigentlich Schadsoftware kommt als Makro in einem Excel-Dokument, teilweise ergänzt durch ein individualisiertes PDF mit Bewerberinformationen.
Damit ist es für den Empfänger erheblich schwieriger zu erkennen, ob es sich um eine echte Bewerbung oder Schadsoftware handelt.

Schnelle Verbreitung – vorerst geringer Schaden

Die Verbreitung läuft mit sehr hoher Geschwindigkeit, auch deshalb, weil wieder die meisten Virenscanner Goldeneye noch nicht erkennen und wegfischen.
Schon kurz nach den ersten Meldungen in IT-Portalen traten auch bei unseren Kunden mehrere Fälle von Goldeneye-Befall auf.

Glücklicherweise scheint die aktuell verbreitete Version noch einige Mängel aufzuweisen.
So werden die in Firmenumgebungen so sensiblen Netzwerkfreigaben bisher zwar erkannt, aber noch nicht verschlüsselt.
Auf Netzwerkfreigaben konnten wir bisher noch keine Verschlüsselung feststellen, es werden dort nur die üblichen Hinweisdateien abgelegt.
Ob sich Goldeneye durch die Manipulation des Bootsektors und den teilweise erzwungenen Neustart selber daran hindert weiter zu verschlüsseln oder ob Netzwerkshares bisher nicht implementiert sind, ist nicht klar. Aber die Hinweisdateien zeigen klar, dass Goldeneye nach Netzwerkshares sucht und diese auch erfolgreich findet.

Es dürfte also nicht lange dauern, bis diese Schwächen überarbeitet wurden und Goldeneye mit voller Wucht zuschlägt.

Schutz durch Sensibilisierung der Anwender

Der beste Schutz ist und bleibt die Wachsamkeit der Anwender. Die Hinweise auf einen verantwortungsvollen Umgang mit E-Mails müssen immer und immer wieder angesprochen werden, damit sie möglichst allen Anwendern in Fleisch und Blut übergehen.

Diese Fragen sollte sich jeder beim Öffnen einer Mail stellen:

  • Erwarte ich diese Mail, besonders erwarte ich Daten als Anhang?
  • Ist das Dateiformat im Anhang passend?
    • PDF ist für eine Bewerbung angemessen und relativ sicher.
    • Dateien als .docx oder .zip kommen leider immer noch vor, sollten aber sofort zu erhöhter Vorsicht mahnen.
    • .js, .exe oder ähnliche Kandidaten sind zu 100% Schadsoftware.
  • Wollen Office-Dokumente (xlsx, docx) Makros starten? Hier ist extreme Vorsicht geboten!
  • Werden Anhänge als Verlinkung auf einen Dienst wie Dropbox eingefügt? Hier gelten die gleichen Überlegungen zu den sinnvollen Datei-Typen.
  • Passt der Mailinhalt wirklich zu meiner Arbeit?

Im geringsten Zweifel sollte man einen Anhang nicht öffnen und die IT-Abteilung oder den IT-Dienstleister fragen. Hier gibt es keine dumme Frage, denn auch wenn 10 falsche Alarme helfen einen Ausbruch zu verhindern, spart das der IT-Abteilung viel Ärger und Aufwand.
Und es bleibt natürlich immer die Möglichkeit, die Mail einfach mit einer kurzen Rückfrage zu beantworten oder das Dokument als sicheres PDF anzufordern.

Denn ein echter Bewerber wird dieser Bitte schnell nachkommen, ein Spambot sicherlich nicht.