Kryptotrojaner Goldeneye

Die Erpresser lernen dazu, werden raffinierter und hebeln alle gängigen Schutzmaßnahmen aus

Datum
6. Januar 2017
Autor

Sobald ein System von Schadsoftware befallen ist, werden mangelnde Awareness und unzureichende Schutzmaßnahmen als Ursache genannt. So auch Anfang Dezember 2016, als der Kryptotrojaner Goldeneye Rechnersysteme in zahlreichen deutschen Unternehmen verschlüsselte und Lösegeld forderte. Doch die Gründe für den Erfolg von Goldeneye liegen tiefer als mangelnde Awareness und unzureichende Schutzmaßnahmen.

Was war passiert?

Goldeneye: Anhang der fingierten Bewerbung fordert auf eine Exceldatei zu öffnen

Goldeneye: Anhang als PDF

Vom 6. Dezember 2016 an gingen bei Personalabteilungen deutscher Unternehmen gefälschte Bewerbungen ein. Selbst geschulte Anwender konnten nur schwer die betrügerische Absicht des Absenders erkennen. Die E-Mail war fehlerfrei formuliert. Die Nachricht adressierte Ansprechpartner im Unternehmen und bezog sich auf eine ausgeschriebene Stelle. Ein unverfänglich wirkender PDF-Anhang forderte den Empfänger auf, mehr Informationen einer angehängten Excel-Datei zu entnehmen. Heise vermutete echte Daten der Bundesagentur für Arbeit als Datenquelle.

Goldeneye: Eine Exceldatei in der fingierten Bewerbung fordert Anwender auf Makros zuzulassen

Goldeneye: Anhang als Excel

Die Excel-Datei forderte den Empfänger auf, die Bearbeitungsfunktion zu aktivieren. Angeblich, um Daten zur Bewerbung von den Servern der BfA laden zu können. Tatsächlich nutzte die Goldeneye ein Excel-Makro, um ein ausführbares Schadprogramm auf dem Rechner zu speichern und auszuführen. Die Schadsoftware verschlüsselte zunächst Dateien in den persönlichen Ordnern des Benutzers und veranlasst Windows mit einem Bluescreen abzustürzen. Der folgende Neustart ruft nicht mehr Windows, sondern einen Kernel der Schadsoftware. Getarnt als Checkdisk-Festplattenüberprüfung überschrieb dieser Softwareteil Teile der Festplatte, auf die dort gespeicherten Dateien konnte nicht mehr zugegriffen werden.

Goldeneye Epressungsbotschaft

Goldeneye: Epressungsbotschaft

Die anschließend angezeigte Nachricht forderte die Opfer auf, ein Lösegeld in Bitcoins im Gegenwert von rund 1000 Euro zu bezahlen. Nach der Bezahlung sollten die Opfer einen individuellen Schlüssel erhalten, um ihre Daten wieder entschlüsseln zu können.

Die Erpresser lernen schnell

Funktion sowie Gestaltung des Kryptotrojaners und die verwendeten Namen lassen vermuten, dass der Autor der Ransomware Petya und Mischa auch Goldeneye programmiert hat. Die Erpresser haben offensichtlich aus den Erfahrungen der beiden Vorgängerversionen gelernt. Sie veränderten die angehängten Dateien im Stundentakt. Signaturbasierte Antivirenprogramme konnten die schädlichen Anhänge nicht erkennen. Mittlerweile kann die Ransomware mit aktueller Antivirensoftware entfernt werden. Ein Entschlüsselungsprogramm oder Generalschlüssel sind bisher nicht bekannt. Die Opfer müssen abwägen, ob sie das Lösegeld bezahlen – und damit das Geschäftsmodell der Erpresser unterstützen – oder ob sie die verschlüsselten Daten anders wiederherstellen können.

Einschätzung

Die direkte Ansprache und der Bezug auf eine tatsächlich ausgeschriebene Stelle dürften viele Personaler überzeugt haben, dass es sich um eine normale Bewerbung handelt. Viele Dateianhänge sind leider in Bewerbungen der Normalfall. Selbst bei nicht-aktiven Dateiformaten wie PDF oder Bilddateien besteht die Gefahr, dass eine Schwachstelle ausgenutzt wird, um Ramsomware auszuführen. Die Anwender sind auf technische Erkennungsmaßnahmen angewiesen. Die Macher von Goldeneye haben diese erfolgreich ausgehebelt. Sie haben Virenscanner mit geänderten Dateien – und damit abweichenden Prüfsummen – überlistet. Viele Office-Dokumente funktionieren nur mit aktiven Inhalten. Die Konfigurationsmöglichkeiten sind aufwändig oder eingeschränkt. Es bleibt den Anwender überlassen, Schutzmaßnahmen zu deaktivieren, um reguläre Arbeitsschritte erledigen zu können. Die Erpreser haben Vorkehrungen getroffen, um die Anwender in falscher Sicherheit zu wiegen.

Infektionen sind kaum zu verhindern

Eine Schadsoftware wie Goldeneye erkennen und Infektionen verhindern ist schwierig. Umso wichtiger ist ein umfassendes Informationssicherheitsmanagement, um mögliche Schäden zu minimieren. Fortgeschrittenen Erkennungssystemen hätte beispielsweise auffallen können, dass Excel eine Datei erstellt und anschließend ausführt. Teil eines jeden Managementsystems für Informationssicherheit ist ein Datensicherungskonzept. Eine aktuelle Sicherung reduziert den Verlust durch verschlüsselte Dateien auf wenige Stunden.

Strafverfolgung im Darkweb

Wenn die Annahme richtig ist, dass hinter Goldeneye die Macher von Petya und Mischa stecken, bedeutet dies, dass die Erpresser seit zehn Monaten aktiv sind. Sie verfügen über eine Infrastruktur für die Kommunikation mit den Opfern. Dafür betreiben sie Webseiten im Darkweb. Den Opfern wird detailliert erklärt, wie sie mit Tor auf diese Webseiten im Darkweb zugreifen können. In der Vergangenheit gelang es dem FBI wiederholt, Tor-Anwender zu identifizieren und strafrechtlich zu verfolgen. Über Ermittlungsergebnisse in Sachen Petya, Mischa und Goldeneye ist bisher nichts bekannt.