Alles deutet darauf hin, dass die Angreifer hinter der sich rasant verbreitenden Ransomware Goldeneye Daten missbrauchen, die von der Bundesagentur für Arbeit stammen. Die Anschreiben sind so realistisch, dass sie eine handfeste Gefahr darstellen.
Die Drahtzieher hinter dem Erpressungstrojaner Goldeneye schreiben gezielt Personalverantwortliche an und beziehen sich detailliert auf offene Stellenausschreibungen, um die Personaler dazu zu bringen, den Trojaner auszuführen. Die Kriminellen bedienen sich dabei an Daten, die vermutlich von der Bundesagentur für Arbeit stammen. Im Zuge der Recherchen von heise Security erreichten uns mehr als zweihundert Erfahrungsberichte von Betroffenen und mehrere Leser beteuern, dass die Erpresser in ihren Mails Daten und Mailadressen verwendet haben, die zu diesem Zeitpunkt nur die Agentur für Arbeit besaß.
Datenklau beim Arbeitsamt?
Ob bei der Arbeitsagentur oder bei einem externen Dienstleister ein Datenklau stattgefunden hat, ist bis jetzt nicht bekannt. Auf mehrere Nachfragen in diese Richtung hat die Agentur gegenüber heise Security nicht geantwortet. Ein Vertreter der Agentur wies uns lediglich darauf hin, dass Screenshots der Infektionsdatei des Trojaners unrechtmäßig das markenrechtlich geschützte Logo der Arbeitsagentur enthalten. Mittlerweile warnt die Agentur in einer Pressemitteilung vor den Trojaner-Mails, betont allerdings, „dass sie in keinerlei Zusammenhang mit derartigen E-Mails steht“.
Dass sich Drahtzieher hinter Erpressungstrojanern wie Goldeneye, Mischa und Petya an öffentlichen Datenquellen des Arbeitsamtes bedienen, ist nicht neu. Bei Goldeneye fällt allerdings auf, dass die Erpresser weitaus geschickter vorgehen als sonst üblich. Die Mails sind viel genauer auf Firmen und offene Stellen zugeschnitten und gehen zum Teil an Mailadressen, die in den öffentlich einsehbaren Stellenausschreibungen nicht vorkommen. Die Täter scheinen es mit Vorliebe auf Personalchefs in den Zielfirmen abgesehen zu haben.
Deutsche Firmenwelt in Alarmbereitschaft
Mittlerweile haben neben heise Security nicht nur Arbeitsamt und mehrere Polizeidienststellen vor dem Trojaner gewarnt, sondern auch viele Informationsdienste für Personaler. Die deutsche Firmenwelt ist seit gestern Nachmittag in Alarmbereitschaft. Uns erreichen haufenweise Berichte aus großen Firmen, Ämtern und Kommunen sowie anderen großen Einrichtungen, die entweder Excel-Dateien oder alle Anhänge an eingehenden Mails pauschal blockieren.
Das scheint durchaus angebracht. Mehrere Personaler gestanden uns, dass sie die Viren-Mails und das angehängte Bewerbungs-PDF so überzeugend fanden, dass sie bereits darüber nachdachten, den Bewerber zu einem Vorstellungsgespräch einzuladen, bevor ihr Rechner verschlüsselt wurde oder Kollegen sie in letzter Minute vor Goldeneye warnten.
Wie Sie sich und ihre Kollegen vor der Bedrohung schützen, haben wir in einer gesonderten Meldung zusammengetragen:
Update – 08.12.2016, 12:16 Uhr
Die Bundesagentur für Arbeit teilte gegenüber heise Security mit, dass es nach ihrem Kenntnisstand kein Datenleck bei der Agentur gebe.