Goldeneye Ransomware richtet sich gezielt an Personalabteilungen

Der Verschlüsselungstrojaner Goldeneye, der seit heute morgen 4 Uhr in Deutschland wütet, zielt direkt auf Personalverantwortliche in Firmen bzw. Konktaktpersonen in Stellenausschreibungen. Die Vermutung liegt nahe, dass im großen Stil Daten über offene Stellen abgegriffen wurden.

Die E-Mails mit dem Schadcode im Anhang tarnen sich als legitime Bewerbungen und richten sich gezielt an die in realen Stellenausschreibungen angegebenen Konktaktpersonen der jeweiligen Firma. Sie sind in fehlerfreiem Deutsch verfasst und verwenden korrekte Anrede und Betreff, passend zur jeweiligen Stellenausschreibung.

Neben der schadcodebehafteten XLS-Datei ist auch noch ein PDF-Datei angehängt. Die PDF wirkt wie eine legitime Bewerbung, in der das Unternehmen und dessen Personalverantwortliche gezielt und Bezug auf eine konkrete Stellausschreibung genommen wird.

Die E-Mails werden im Namen "Rolf Drescher" von verschiedenen Adressen nach dem Schema "rolf.drescher@" versandt. Diese Mails stammen nach den Recherchen von heise Security aller Wahrscheinlichkeit nach nicht von diesen Absendern. Es scheint sich um eine Racheaktion zu handeln. Die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner bietet Entschlüsselungshilfe für Opfer des Trojaners Petya an und augenscheinlich wollen sich die Drahtzieher deswegen rächen. Dafür spricht auch, dass der Goldeneye-Trojaner viel mit Petya gemeinsam hat. Die Firma wird nach eigenen Angaben seit heute morgen geradezu von Anfragen zu diesem Thema überannt, was den Geschäftsbetrieb zum Erliegen gebracht hat.

Mittlerweile wird der Goldeneye-Trojaner auch unter anderen Absendern mit den unterschiedlichsten Absender-Adressen verschickt. Die Gefahr lässt sich nun also nicht mehr einfach am Absender erkennen.

Quelle: heise Security

p.s.
Wir haben aktuell ein Stellenangebot geschaltet und heute zufällig auch eine Bewerbung wie o.a. von "Rolf Drescher" mit "Goldeneye" erhalten. Diese ist u.a. aufgrund unserer Sicherheitspolicies und Zero-Day-Protection in Quarantäne gelandet, sodass wir in der Lage sind, diese in "Originalzustand" in den nächsten Tagen analysieren zu können! Das Ergebnis werden wir hier dann veröffentlichen.