Vorsicht! Goldeneye Verschlüsselungstrojaner tarnt sich als Bewerbung

Man könnte meinen, dass die nächste Sau, die durchs Dorf getrieben wird sich von der vorherigen unterscheiden sollte. Das tut sie auch öfter, aber Verschlüsselungstrojaner sind bei Kriminellen nach wie vor die Sau Nr. 1. Oder, um bei Tiervergleichen zu bleiben, der Goldesel Nr. 1, denn bevor Unternehmen und private Nutzer ihre Daten ganz verlieren, zahlen sie eventuell doch den ein anderen Bitcoin, um hoffentlich an die geliebten Fotos der Kinder und Enkel zu gelangen. Oder an die Patientendaten.

Das Konzept der Erpresser ist denkbar einfach und doch effektiv. Erpressung im 21. Jahrhundert. Daten verschlüsseln und Lösegeld fordern. Es ist wohl einfacher als tatsächlich Menschen zu entführen. Ein logischer Schritt, denn oft hört man sagen: “Wir befinden uns im Informationszeitalter.”. Da ist es schon fast selbstverständlich, dass diese Informationen so wertvoll sind, so dass sie die neuen Geiseln darstellen. Umso schwieriger sich dagegen zu wehren, denn die Verbrecher sind kreativ und intelligent. Der neue Goldeneye Trojaner, der seit heute seine Bahnen zieht ist schwer zu erkennen.

Goldeneye Verschlüsselungstrojaner

Was macht die Erkennung so schwer? Es sind gleich mehrere Effekte:

  • Frische
  • Professioneller Schreibstil
  • Unwissenheit
  • Gemütlichkeit

Frische

Alles neue wird zuerst nicht erkannt. Es muss irgendjemandem in die Falle gehen, oder schädigen, bevor ein Sample bei den Antiviren Herstellern landet. Erst dann beginnt das “Immunsystem” zu arbeiten. Die in Form von Updates bereitgestellten “Antikörper”, werden an die Kunden ausgegeben. Leider erkennen sie den Angreifer nicht mehr sehr häufig, da sich dieser tarnt. Hier hilft vor allem ein Anti-APT-System (Advanced Persistent Threat).

Damit meine ich ein System, dass eingehenden Traffic dynamisch und statisch untersucht. In die binären Eigenweide der Daten nachschaut und versucht den Code zu analysieren und aus zu führen. Mal mit mehr und mal mit weniger erfolg, aber bei weitem erfolgversprechender als den klassische Antivirus.

Professioneller Schreibstil

Ob Bewerbungen, Briefe und andere Schriftstücke. So richtig ernst genommen wird man nur dann, wenn man die Regeln einhält. Und damit meine die grammatikalischen und die Rechtschreibregeln. Die Angreifer haben wohl alles richtig gemacht und die Anschreiben in korrektem Deutsch verfasst. Frühere Versuche, bei denen gebrochen Deutsch geschrieben worden ist, waren zum Scheitern verurteilt. Wobei auch damals genug Menschen darauf hereingefallen sind und 10 TANs samt Login zur Bank mitgeteilt haben.

Halten wir also fest. Ein guter und fehlerfreier Schreibstil erhöht die Chance ernst genommen zu werden. In diesem Fall erhöht es die Chance, dass der Trojaner gestartet wird.

Unwissenheit

Die Excel Datei, die den Trojaner beinhaltet kommt nun mal als stinknormale Excel Datei. Das kennt so ziemlich jeder aus seinem Arbeitsumfeld. Eine Excel Datei mit Makro ist auch nicht weiter schlimm. Meistens sind es kleine Programme, die sinnvolle Tätigkeiten durchführen. Dazu könnten spezielle Berechnungen stecken oder ähnliches. Und doch ist es die Unwissenheit derer, die die Datei öffnen, die sie in eine verhängnisvolle Lage bringt.

Man vertraut dem Ersteller der Datei. Er wird sich schon etwas dabei gedacht haben, da man selbst keine Ahnung von Makros hat. Schließlich ist das Ziel der Angreifer nicht die IT, und selbst dort wird aus reiner Neugier so einiges geöffnet.

Gemütlichkeit

Wird schon nichts passieren. Keine Lust jetzt mit der IT zu streiten, ob die eingetroffenen Unterlagen geöffnet werden dürfen oder nicht. Es ist einfacher die Datei zu öffnen und das Risiko einzugehen. Es ist ja auch schon so oft nichts passiert.

Aber an eines denken die wenigsten. Der Angreifer muss genau ein Mal gewinnen und er ist drin. Wir Verteidiger haben die missliche Lage, dass wir jeden Angriff abwehren müssen, um uns effektiv zu verteidigen. Also runter vom mentalen Sofa und Dinge hinterfragen!

Was kann ich dagegen tun?

Das kommt auf die Situation an:

  • Noch nicht betroffen: Nicht klicken! Nicht öffnen! Löschen! IT bescheid geben!
  • Schon geöffnet: Rechner sofort ausschalten und IT rufen, oder die Kinder bzw. Enkelkinder, damit die es wieder richten können!

Im Ernst. Ist das Ding geöffnet und ausgeführt worden, ist ein umgehendes Ausschalten des Rechners sehr wichtig, da sonst noch mehr Daten verschlüsselt werden. Wer jetzt glaubt er würde mit einem NAS System triumphierend da stehen, der wird sich wundern, denn falls das NAS über Netzlaufwerke eingebunden ist, sind die Daten dort auch betroffen (nicht immer, aber manchmal!). Im nachfolgenden sind einige Links zu Artikeln auf meinem Blog zu finden was das Thema Verschlüsselungstrojaner (Kategorie: Verschlüsselungstrojaner) angeht:

Artikel teilen:

Kommentar verfassen