Ransomware "Goldeneye" - eine Analyse

Der im Dezember letzten Jahres aufgetauchte Trojaner "Goldeneye", der sich speziell and deutsche Personaler gerichtet hatte (siehe unser Blogpost "Goldeneye"), ist nun von der Sicherheitsfirma Fidelis Cybersecurity erstmals genauer analysiert worden. Dabei wurden erstaunliche Entdeckungen gemacht - und das nicht nur im Sourcecode!

Cybercrime als Wachstumsmodell?

Dieser Schädling fällt in die Kategorie Ransomwar as a Service, d.h. er wird ähnlich wie eine legale Dienstleistung angeboten, und setzt dabei auf ein Gewinnbeteiligungsmodell, d.h. die Anbieter des Trojaners verdienen bei jeder Erpressung (was ja das Ziel jeder Ransomware ist) mit. Dadurch haben die Programmierer des Trojaners eine lukrative Einnahmequelle, die sie schützen möchten, indem sie die Software stetig verbessern. Es ist also in nächster Zeit damit zu rechnen, dass solche Trojaner vermehrt auftauchen werden.

Arbeitsweise des Trojaners - eine kleine Zusammenfassung

Wie schon erwähnt, richtet sich dieser Trojaner primär an Personaler - es werden E-Mails mit dem Betreff "Bewerbung" verschickt, die einen Anhang enthalten, der ein manipuliertes Office-Dokument enthält. Wird das Dokument geöffnet, erstellt das darin enthaltene Makro den Trojaner (Payload), und verschlüsselt die auf der Festplatte enthaltenen Dateien. Wenn der Trojaner Zugriff auf den MBR (Master Boot Record - wird benötigt um das Betriebssystem zu starten) erhält, wird zuerst der Original-MBR verschlüsselt und kopiert, und anschließend ein eigener Bootloader erzeugt, der bei einem Neustart die gesamte Festplatte veschlüsselt.

Der Verantwortliche für diese Schadsoftware nennt sich im Darknet "Janus", und macht sogar über offizielle Social-Media-Kanäle wie Twitter oder Facebook Werbung für seine Malware.

Fazit:

Cybercrime wird zum zunehmenden Problem - hauptsächlich deswegen, weil Computer in Organisationen oft nicht auf dem neuesten Stand sind, und bekannte Sicherheitslücken nicht geschlossen wurden. Auch das Social Engineering spielt dabei eine gewisse Rolle: wenn (wie in diesem Fall) Personaler mit der Masche "Bewerbung" dazu gebracht werden sollen, Dateien leichtfertig zu öffnen so dass damit unbekannte Makros ausgeführt werden, sollten Admins schon im Vorfeld geeignete (technische) Gegenmaßnahmen treffen, wie z.B. das Deaktivieren von Organisationsfremden Makros, oder das zeitnahe Aufspielen von Updates. Ein anderer Ansatz kann sein, jeden Mitarbeiter im Erkennen von gefälschten E-Mails zu schulen.

Quelle: http://www.security-insider.de/goldeneye-ransomware-analysiert-a-577610/

2017-02-17