GoldenEye – Die Situation oder auch: Eine neue Ransomware ist aktiv

Was ist so besonders?

GoldenEye verbreitet sich rasant und zielorientiert.

Weshalb?

Es ist eine neue Generation der Malware, die technisch extrem gut funktioniert und auch mit viel Aufwand dafür sorgt, dass Sie infiziert werden.

Wie?

Generell ist Ransomware eine Kategorie von Malware, die den Computer oder den Zugang zu Daten sperrt und nur gegen eine Lösegeldzahlung wieder freigibt. Der letzte bekanntere Ausbruch in diesem Ausmaß war Locky. So wie Locky verschlüsselt auch GoldenEye die Daten der Empfänger und fordert ein Lösegeld. Das Perfide an dem aktuellen Ausbruch ist aber, dass die E-Mail mit dem Trojaner in der Sache sehr genau ist.

  1. Anfragen werden gezielt an die Personalabteilung mit persönlicher Ansprache geschickt.
  2. E-Mails beziehen sich auf tatsächlich ausgeschriebene Stellen.
  3. Texte enthalten keine Fehler und sind in fehlerfreiem Deutsch verfasst.

Bisher kommen die E-Mails in einem bestimmten Schema von den Absendern: rolf.drescher@, drescher1988@ etc. Es ist aber davon auszugehen, dass dieser Absender sich ändern wird, wenn die „Operation“ GoldenEye länger anhält.

Üblicherweise vermutet man, man sei unter Verwendung gängiger Antivirenprogramme und mit neuestem Patchstand sicher, aber auch hier setzt sich der Trend fort, dass AV-Software aufgrund der sehr schnellen und konzentrierten Verbreitung den Schädling erst erkennt, wenn schon viele Opfer befallen wurden. Das liegt in der Natur der signaturbasierten Systeme, Schädlinge erst zu erkennen, wenn sie der Hersteller der AV-Lösung analysiert hat.

In dem Fall „GoldenEye“ erhält die Personalabteilung eine Office-Datei und wird beim Öffnen gebeten, die Bearbeitungsfunktion zu aktivieren. Damit werden auch Dokumentmakros aktiviert und diese installieren dann den Trojaner.

Offen gestanden – auf diese E-Mails kann jeder Anwender hereinfallen. Der IT-Experte oder geschulte Mitarbeiter wird bei der Aufforderung zur Aktivierung der Bearbeitungsfunktion natürlich stutzig – aber Anwender führen sie aus. Haben Sie Ihre Mitarbeiter entsprechend geschult oder sind alle Ihre Mitarbeiter IT-Experten? Können Sie diese Frage mit Ja beantworten, sind Sie in der glücklichen Lage jetzt davon zu profitieren. Falls nein, sollten Sie aktiv werden.

 

Was also tun?

Backup, Backup und noch einmal Backup und dies geprüft und getestet. Denn Sie sollten sich versichern, dass die Daten auch wirklich wieder rücksicherbar sind. Sind beim Thema Backup alle notwendigen Voraussetzungen erfüllt, haben Sie nur noch den „Verlust“ der Änderungen an Dokumenten zwischen den Backups zu erleiden. Wünschen Sie aber eine umfassende Wiederherstellung der Daten, dann sind Business-Continuity-Lösungen eine Möglichkeit. Hier werden die Daten so archiviert, dass Sie auf jede Version zurückgreifen können.

Aufwändiger ist es, den Schädling bzw. Angreifer erst gar nicht aktiv werden zu lassen. Hierfür gibt es verschiedene Lösungen. Sprechen Sie mit IT-Experten, die sich mit IT-Sicherheit und Rechenzentrumsbetrieb auskennen, sonst investieren Sie nicht nur Zeit sondern auch noch viel Geld für Lösungen, die Ihnen am Ende nicht helfen.

 

Warum aktiv werden?

Verschwenden Sie nicht Ihre Zeit mit der Unsicherheit und handeln Sie jetzt. Lassen Sie uns gemeinsam schauen, was genau zu Ihnen und Ihrem Unternehmen passt. Das ist am Ende wirtschaftlicher und schont die Nerven aller Verantwortlichen.

 

P.S.

Wenn Sie bereits betroffen sind und jetzt mit dem Gedanken spielen, Ihre Antivirenlösung zu deinstallieren oder die Awareness-Schulungen für Ihre Mitarbeiter einzustellen, dann können wir dazu nur sagen: Tun Sie es nicht. Mit der richtigen Antivirenlösung und einer zielorientierten Mitarbeiterschulung bekommen Sie das Problem sehr gut in den Griff.