Petya/GoldenEye: Ransomware verbreitete sich über gefälschte Bewerbungen in Deutschland

Im Dezember 2016 rollte eine Welle von Ransomware-Angriffen über Deutschland hinweg, die speziell auf Personalabteilungen zielte. Die Malware „GoldenEye" – eine Weiterentwicklung der berüchtigten Petya-Ransomware – verbreitete sich über täuschend echt aussehende Bewerbungs-E-Mails. Ein einziger Klick auf die beigefügte Excel-Datei genügte: Der Master Boot Record (MBR) der Festplatte wurde überschrieben, alle Dateien verschlüsselt, und der Rechner zeigte beim nächsten Start statt Windows nur noch einen Totenkopf auf schwarzem Bildschirm mit einer Bitcoin-Lösegeldforderung.

Der Vorfall

Im März 2016 tauchte die erste Version von Petya auf – eine Ransomware, die sich von allen bisherigen Verschlüsselungstrojanern unterschied. Statt nur einzelne Dateien zu verschlüsseln, überschrieb Petya den Master Boot Record der Festplatte und ersetzte ihn durch einen eigenen Bootloader. Beim nächsten Neustart zeigte der Rechner nicht mehr Windows, sondern einen Bildschirm mit einem ASCII-Totenkopf und einer Lösegeldforderung.

Im Dezember 2016 erschien eine weiterentwickelte Version namens „GoldenEye", die gezielt auf Deutschland zugeschnitten war. Die Angreifer verschickten professionell formulierte Bewerbungs-E-Mails auf Deutsch, die sich auf tatsächlich ausgeschriebene Stellenangebote bezogen. Die E-Mails enthielten:

• Einen überzeugenden Anschreibentext im E-Mail-Body
• Ein PDF-Dokument mit einem seriös wirkenden Lebenslauf
• Eine Excel-Datei (.xls), angeblich mit den Bewerbungsunterlagen

Das PDF war harmlos – es diente nur dazu, Vertrauen zu erwecken. Die Excel-Datei hingegen enthielt ein bösartiges Makro. Sobald der Empfänger die Datei öffnete und Makros aktivierte, begann der Angriff.

Die Kampagne war verheerend effektiv. Personalabteilungen öffnen täglich dutzende Bewerbungen – und die GoldenEye-E-Mails waren so gut gemacht, dass selbst vorsichtige Mitarbeiter keinen Verdacht schöpften. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte eine dringende Warnung. Zahlreiche deutsche Unternehmen, von Handwerksbetrieben bis zu mittelständischen Firmen, verloren den Zugriff auf ihre Rechner und Daten.

Wie der Angriff funktionierte

GoldenEye folgte einem ausgeklügelten mehrstufigen Angriffsplan:

Stufe 1 – Die Social-Engineering-Falle: Die E-Mail war perfekt auf deutsche Personalabteilungen zugeschnitten. Der Absendername war ein deutscher Vor- und Nachname. Das Anschreiben war grammatisch korrekt und bezog sich auf eine real existierende Stellenausschreibung. Die Angreifer hatten offensichtlich Jobbörsen wie StepStone oder Indeed durchsucht, um ihre Bewerbungen glaubwürdig zu gestalten.

Stufe 2 – Das bösartige Makro: Die Excel-Datei forderte beim Öffnen dazu auf, Makros zu aktivieren – angeblich, um den Inhalt korrekt anzuzeigen. Der gelbe Balken in Excel mit der Meldung „Makros wurden deaktiviert" ist vielen Nutzern vertraut. Wer auf „Inhalt aktivieren" klickte, startete den Angriff. Das Makro schrieb zunächst eine ausführbare Datei in den TEMP-Ordner und führte sie aus.

Stufe 3 – Die doppelte Verschlüsselung: GoldenEye arbeitete in zwei Phasen. Zunächst verschlüsselte die Malware im laufenden Windows-Betrieb einzelne Dateien mit AES-256-CBC – Dokumente, Bilder, Datenbanken und andere persönliche Dateien. Dann provozierte GoldenEye einen Bluescreen (BSOD), der den Rechner zum Neustart zwang.

Stufe 4 – Der MBR-Angriff: Vor dem Bluescreen hatte GoldenEye den Master Boot Record der Festplatte überschrieben. Beim Neustart zeigte der Rechner nicht mehr Windows, sondern den GoldenEye-Bootloader. Dieser gab sich als „CHKDSK" (Windows-Festplattenprüfung) aus und zeigte einen Fortschrittsbalken an. In Wirklichkeit verschlüsselte GoldenEye in dieser Phase die Master File Table (MFT) – die zentrale Dateiverwaltungstabelle des NTFS-Dateisystems. Ohne die MFT war Windows nicht in der Lage, auch nur eine einzige Datei zu finden.

Stufe 5 – Die Lösegeldforderung: Nach der „CHKDSK"-Simulation erschien der ASCII-Totenkopf mit der Nachricht, dass alle Daten verschlüsselt seien. Die Lösegeldforderung betrug 1,3 Bitcoin – damals etwa 1.000 Euro. Ein Link zu einer Tor-Website bot angeblich die Möglichkeit, den Entschlüsselungsschlüssel nach Zahlung zu erhalten.

Warum Virenscanner versagten

GoldenEye umging die damaligen Sicherheitslösungen auf mehreren Ebenen:

• Die E-Mail war kein offensichtlicher Spam. Spam-Filter erkannten die GoldenEye-E-Mails nicht, weil sie keine typischen Spam-Merkmale aufwiesen: keine Tippfehler, kein Dringlichkeitsdruck, keine verdächtigen Links im Text. Es war eine professionelle Bewerbung.
• Das PDF war harmlos. Virenscanner, die den Anhang prüften, fanden im PDF keine Bedrohung – weil es tatsächlich harmlos war. Die Aufmerksamkeit auf das PDF lenkte von der gefährlichen Excel-Datei ab.
• Makro-basierte Angriffe waren (und sind) schwer zu filtern. Viele Unternehmen benötigen Makros für ihre Arbeitsprozesse. Das pauschale Blockieren von Makros war für viele IT-Abteilungen keine Option.
• Neue Varianten umgingen Signaturen. GoldenEye wurde in mehreren Wellen verteilt, jede mit einer neuen Verschleierung. Virenscanner erkannten ältere Varianten, aber die neuesten Versionen passierten die Prüfung.
• Der MBR-Angriff geschah unterhalb des Betriebssystems. Sobald GoldenEye den Master Boot Record überschrieben hatte, war das Spiel vorbei. Windows startete nicht mehr, und damit auch kein Virenscanner. Die Verschlüsselung der MFT fand außerhalb des Windows-Kontexts statt.

So hätte Deep Freeze geschützt

Deep Freeze bietet gegen Petya/GoldenEye einen mehrschichtigen Schutz:

1. Das Excel-Makro hätte zwar ausgeführt werden können – Deep Freeze verhindert keine Nutzeraktionen während der laufenden Sitzung. Der Dropper wäre in den TEMP-Ordner geschrieben und ausgeführt worden.

1. Die Dateiverschlüsselung in Stufe 3 hätte stattgefunden – aber auf der eingefrorenen Partition. Alle verschlüsselten Dateien auf der Systempartition wären beim nächsten regulären Neustart wiederhergestellt worden.

1. Der MBR-Angriff ist der entscheidende Punkt. Deep Freeze schützt den Master Boot Record. Die Software installiert einen eigenen Schutzlayer, der Änderungen am MBR verhindert oder beim Neustart rückgängig macht. GoldenEye hätte den MBR nicht dauerhaft überschreiben können.

1. Die gefälschte CHKDSK-Phase wäre nicht aufgetreten. Da der MBR geschützt ist, hätte der GoldenEye-Bootloader beim Neustart nicht geladen werden können. Stattdessen hätte Deep Freeze den Rechner mit dem Original-MBR gestartet und die Festplatte auf den eingefrorenen Zustand zurückgesetzt.

1. Nach dem Neustart wäre der Rechner vollständig wiederhergestellt gewesen: kein Totenkopf, keine Lösegeldforderung, keine verschlüsselten Dateien auf der Systempartition, kein manipulierter MBR. Der Rechner hätte ganz normal Windows gestartet.

1. Deine persönlichen Daten auf einer separaten Partition wären von der Systempartition getrennt und durch regelmäßige Backups geschützt gewesen.

Die Lehre

• Social Engineering ist die gefährlichste Waffe. GoldenEye war technisch anspruchsvoll, aber der eigentliche Trick war die perfekte Bewerbungs-E-Mail. Personalabteilungen müssen Bewerbungen öffnen – und genau das nutzen Angreifer aus.
• MBR-basierte Ransomware ist besonders destruktiv. Wenn der Master Boot Record überschrieben wird, startet Windows nicht mehr. Herkömmliche Reparaturmethoden versagen.
• Virenscanner können Social Engineering nicht verhindern. Kein Scanner erkennt eine perfekt formulierte Bewerbungs-E-Mail als Bedrohung. Die Entscheidung, das Makro zu aktivieren, trifft der Mensch.
• Deep Freeze schützt auch den Master Boot Record. Im Gegensatz zu reinen Dateisystem-Schutzmechanismen sichert Deep Freeze auch die unterste Ebene der Festplatte.
• Der Neustart als ultimative Verteidigung: Statt 1.000 Euro in Bitcoin zu zahlen und zu hoffen, dass die Angreifer den Schlüssel liefern, startest Du Deinen Rechner einfach neu. Deep Freeze erledigt den Rest.