GoldenEye: Neue Ransomware nimmt Personalabteilungen ins Visier

Sie richtet sich derzeit vor allem gegen Opfer im deutschsprachigen Raum. Der Schadcode befindet sich in einer speziell präparierten Excel-Datei. Personalabteilungen sind offenbar ein lukratives Ziel, weil sie regelmäßig E-Mails und Dateianhänge aus unbekannten Quellen öffnen.

CheckPoint hat eine neue Ransomware-Kampagne analysiert, die sich gegen Personalabteilungen in Unternehmen richtet. Dabei kommt eine GoldenEye genannte Variante der bereits bekannten Erpressersoftware Petya zum Einsatz. Sie macht sich den Umstand zunutze, dass Personalabteilungen zur Bearbeitung von Bewerbungen häufig E-Mails und Dateianhänge aus unbekannten Quellen öffnen.

Den Sicherheitsforschern zufolge haben es die Cyberkriminellen derzeit vor allem auf Ziele im deutschen Sprachraum abgesehen. Ihre Schadsoftware verstecken sie in E-Mails, die angeblich von Bewerbern stammen. An die Nachrichten sind eine harmlose PDF-Datei und eine Excel-Datei mit gefährlichen Makros angehängt.

Der GoldenEye-Schadcode ist in einer Excel-Datei versteckt (Screenshot: CheckPoint).Der GoldenEye-Schadcode ist in einer Excel-Datei versteckt (Screenshot: CheckPoint).Der Name der Excel-Datei setzt sich stets aus dem Namen des angeblichen Bewerbers und dem Wort „Bewerbung“ zusammen. Wird die Datei geöffnet, erscheint eine Blumen-Grafik mit dem Logo der Agentur für Arbeit und der Aufforderung, die „Bearbeitungsfunktion“ von Excel zu aktivieren, um das Kompetenzprofil des Bewerbers anzuzeigen.

Die Aktivierung der zuvor von Excel vorsorglich gesperrten Inhalte führt direkt zur Verschlüsselung der Dateien des Opfers im Hintergrund. Zur Dateiendung einer verschlüsselten Datei fügt GoldenEye eine zufällige achtstellige Zeichenkette hinzu. Erst danach wird eine erste Lösegeldforderung angezeigt.

Darüber hinaus erzwingt GoldenEye einen Neustart, um schließlich die gesamte Festplatte zu verschlüsseln. Dieser Vorgang wiederum wird, wie schon bei früheren Petya-Varianten, mit einer gefälschten CheckDisk-Meldung getarnt. Nach Abschluss dieses Vorgangs hat das Opfer nur noch Zugriff auf eine Lösegeldforderung auf Boot-Ebene. Sie fordert den Nutzer auf, mithilfe des Tor-Browsers einen Entschlüsselungskey zu kaufen. Das in Bitcoin zu zahlende Lösegeld beträgt 1000 Dollar.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

CheckPoint zufolge ist es nicht das erste Mal, dass sich Cyberkriminelle deutschsprachige Personalabteilungen als Opfer ausgesucht haben. Im vergangenen Jahr habe bereits die Ransomware Cerber versucht, Nutzer mit gefälschten Bewerbungen zu täuschen. Die Sicherheitsforscher halten es für wahrscheinlich, dass hinter beiden Kampagnen dieselben Täter stecken.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Checkpoint, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu GoldenEye: Neue Ransomware nimmt Personalabteilungen ins Visier

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *