zurück zur Übersicht

Goldeneye – The Return of Evil Macros

goldeneyeDer im Artikel „Ransomware zielt verstärkt auf Firmen“ bereits erwähnte Trend, dass Cyber-Kriminelle mit Ransomware-Attacken vermehrt gezielt Unternehmen ins Visier nehmen, wird auch durch die jüngsten Attacken bestätigt. Goldeneye heißt eine neue Schadsoftware aus der Familie der Verschlüsselungstrojaner (Ransomware), die seit dem 06. Dezember 2016 in Umlauf ist und gezielt Personalabteilungen von Unternehmen ins Visier nimmt. Goldeneye erreicht seine Opfer per E-Mail und tarnt sich als gut gemachte Bewerbung.

Nahezu perfekte Tarnung

Für den Empfänger sind diese infizierten Mails nicht so einfach als solche zu erkennen. Es wird der korrekte Ansprechpartner des Unternehmens angesprochen, sie sind sprachlich einwandfrei verfasst und beziehen sich sogar auf tatsächlich offene Stellen im Unternehmen des Empfängers. Als Anhang in der Mail befindet sich meist ein PDF-Dokument, das wie ein legitimes Bewerbungsschreiben wirkt. Auch in diesem Dokument wird auf aktuelle offene Stellen Bezug genommen.

Welcome to the 90s: The Return of Evil Macros

Der eigentliche Schadcode befindet in Form von Makro-Code in einer Excel-Datei, die den zweiten Anhang der E-Mail darstellt. Wird diese geöffnet und dann der „Bearbeitungsmodus“  aktiviert, wird der Computer durch Goldeneye infiziert. Die Daten auf dem Computer werden dann im Hintergrund verschlüsselt. Nach der Verschlüsselung startet der Computer neu und zeigt dann die Lösegeldforderung an, nach deren Begleichung die Daten angeblich wieder entschlüsselt werden können. Für Goldeneye existiert zurzeit noch kein Entschlüsselungstool. Betroffene sollten die Daten aber auf jeden Fall aufbewahren. Für Petya, den direkten Vorgänger von Goldeneye, gibt es mittlerweile ein solches Tool, das die Daten auch ohne Zahlung des Lösegeldes wiederherstellen kann

Schutz & Abwehr

Zunächst wurden die E-Mails im Namen von „Rolf Drescher“ verschickt, allerdings unter Verwendung  verschiedener E-Mail-Adressen. Damit war eine gezielte Filterung auf Mailgateways als kurzfristige Reaktion auf die Angriffswelle noch möglich. Inzwischen werden die Mails aber auch unter verschiedensten anderen Absendernamen versandt.

Da diese infizierten Mails auf den ersten Blick wie legitime Bewerbungen aussehen, ist es besonders wichtig technische Präventionsmaßnahmen zu nutzen. Der einfachste Schutz ist die Deaktivierung der Makrofunktion in Excel. Oft lässt sich das aber nicht konsequent umsetzen, da die Verwendung von Makros in Excel-Dateien Bestandteil des täglichen Arbeitsablaufes ist.

Ein aktueller Virenschutz ist ebenfalls Pflicht. Die Zuverlässigkeit der Erkennung hängt jedoch stark vom eingesetzten Produkt und der Qualität der verwendeten Signaturen ab. Deshalb gehen Endpoint Security Lösungen der neusten Generation einen anderen Weg und  erkennen Schadsoftware ohne auf die kontinuierliche Erstellung und Aktualisierung von Signaturen angewiesen zu sein.

Der Hersteller Cylance geht beispielweise in seinem Blogeintrag „Petya Returns as Goldeneye Strikes Germany“ konkret darauf ein, wie er eine Infektion verhindert.

Für Goldeneye gilt aber dasselbe wie für jede andere Ransomware: Die letzte Verteidigungslinie ist ein zuverlässiges Backupkonzept, das gewährleistet, dass verschlüsselte Daten wieder hergestellt werden können. Die Backups müssen aber so abgelegt sein, dass Ransomware im Falle einer Infektion keinen Zugriff darauf hat.

Auf die Zahlung von Lösegeld sollte man verzichten. Opfer berichten, dass trotz Zahlung nur ungefähr 50 Prozent der Daten wiederherstellbar waren.

Umfangreiche Informationen zur Bedrohungslage durch Ransomware und Gegenmaßnahmen sind auch im Dossier „Ransomware: Bedrohungslage, Prävention & Reaktion“ des BSI zu finden.

 


Bild: ©iT-CUBE SYSTEMS AG 2017