:quality(80)/p7i.vogel.de/wcms/59/bf/59bfd2822d711b0ae2cb9383b679f38d/0129302533v2.jpeg "Im Lehrstuhl für KI-Chip Design in der Technischen Universität München (TUM) ist der EU-weit erste KI-Chip mit moderner 7-Nanometer-Technologie entstanden. Im Bild: Lehrstuhlinhaber Prof. Hussam Amrouch. (Bild: Andreas Heddergott / TU Muenchen)")
:quality(80)/p7i.vogel.de/wcms/c1/94/c19403fe0194686b2f4911be7e1e9539/0129294209v2.jpeg "Supraleitung kann verborgene magnetische Ordnungen offenlegen, indem sie gezwungen wird, ihre eigenen Symmetrien zu brechen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e6/72/e67279e23a3267a463edf3e3f55c8e81/0129260553v2.jpeg "Diese künstlerische Darstellung zeigt ein thermisches Analogrechengerät, das Berechnungen unter Verwendung von überschüssiger Wärme durchführt und in ein mikroelektronisches System eingebettet ist. (Bild: Jose-Luis Olivares, MIT)")
:quality(80)/p7i.vogel.de/wcms/28/0f/280fe550dfb032b53edbaac11d09bced/0129337134v3.jpeg "Antennensuche: Taoglas bietet nun einen KI-Assistenten für individuelle Produktempfehlungen (Bild: Taoglas)")
:quality(80)/p7i.vogel.de/wcms/29/21/29218000af0daabca33bf8a7947b61ad/0129310204v2.jpeg "Die Umgebung jederzeit im Blick: Dank des sehr dünnen Heizelements, das direkt in die interne Linsenkonstruktion integriert ist, ist dies möglich. Vorteile sind der geringere Platzbedarf bei höherer Effizienz. (Bild: VIA optronics)")
:quality(80)/p7i.vogel.de/wcms/2b/5d/2b5d6ddedab3fdcaf528ff1caf650433/0129302953v2.jpeg "Die EU-Funkrichtlinie hätte das Aus für die softwaredefinierte Elektronik bedeutet. Jetzt hat sich der zehnjährige Kampf zum Guten gewendet. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/7b/57/7b5725dd2e7545ab4904a9b7a3735721/0129309389v2.jpeg "Die embedded world 2026 findet vom 10. bis zum 12. März 2026 statt. (Bild: NürnbergMesse / Thomas Geiger)")
:quality(80)/p7i.vogel.de/wcms/b2/9c/b29ce10d1817d4b67968dfb737d812b7/0129308255v2.jpeg "Die Machine-Learning- (ML) und KI-Technologie von Canopus AI für Messtechnik und Inspektion – Messung des Kantenplatzierungsfehlers (EPE) zur Verbesserung der Simulationsmodelle für die Waferherstellung. (Bild: Siemens EDA / Canopus AI)")
:quality(80)/p7i.vogel.de/wcms/4b/c5/4bc5a6e591592fac9c3f05b77b8c237f/0129307845v4.jpeg "Ein potentiell neuer Marktführer im Embedded-Wireless-Bereich: Texas Instruments hat angekündigt, Silicon Labs für insgesamt 7,5 Mrd. US-$ übernehmen zu wollen. (Bild: Texas Instruments)")
:quality(80)/p7i.vogel.de/wcms/61/85/6185c7a5619aba866e3b237690bea839/0129334467v3.jpeg "So soll die Fabrik im polnischen Wałbrzych aussehen. (Bild: Sungrow Power Supply Co., Ltd.)")
:quality(80)/p7i.vogel.de/wcms/3c/88/3c8863ad57e80adc0acb9c9d9ea30351/0129319571v2.jpeg "Die Verluste und Eindringtiefe sind abhängig von der Frequenz. (Bild: © studioworkstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/f2/4ef224fde728985d8b9630eb0fa37909/0129293948v3.jpeg "Der EPC2366 (Bild: Efficient Power Conversion)")
:quality(80)/p7i.vogel.de/wcms/c7/f6/c7f61d0437c7f8fca3c6ff947ba2ad62/0129322490v2.jpeg "AMD hat die zweite Generation der Kintex UltraScale+ Gen 2 FPGA-Familie vorgestellt, die mit PCIe Gen4 den 4K-AV-over-IP-Betrieb für 4K/8K-Medienanwendungen unterstützt. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/66/0c/660c31afa35398bac9be42f2be73fdc4/0129073529v2.jpeg "FPGAs lösen Performance-Engpässe, gelten aber in der Programmierung als schwer zugänglich. Die universelle Programmiersprache Livt soll die Hürde senken – korrekt, deterministisch und HDL-kompatibel. (Bild: Toby Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/9c/35/9c35ed04fa562b190cbc496a695a6802/0128823288v1.jpeg "Optimiert auf Skalierung oder Geschwindigkeit: Die SGET hat den offenen Standard oHFM für FPGA-Module in zwei Varianten vorgestellt. (Bild: SGET (Screencast / Screenshot))")
:quality(80)/p7i.vogel.de/wcms/d7/e6/d7e6fe4124ec2efc726e9c3f2c2a4cfc/0128241940v2.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e6/0a/e60ae162bd38bfc111ecf434d5c5fbd7/0129308123v2.jpeg "Der Agibot A2 bei einem Fortune-China-Event im Dezember 2025. (Bild: Agibot)")
:quality(80)/p7i.vogel.de/wcms/75/c0/75c0d5ccd1cee4e66dbd5f3ed02efd0a/0129305300v2.jpeg "Von links nach rechts: Sandro Amendola (Leiter der Abteilung \"Standardisierung, Zertifizierung und Prüfung\" im BSI); Sarah Linder (BSI), Thomas Caspers (BSI-Vizepräsident), Thomas Rosteck (Chief Security Advisor Infineon Technologies AG), Sebastien Colle (Infineon). (Bild: BSI)")
:quality(80)/p7i.vogel.de/wcms/a7/8c/a78c5f851db209abb1540909918fbf4a/0129260768v2.jpeg "Eine KI-basierte Code-Vervollständig ist in der LabVIEW+-Suite von Emerson möglich. Der Projektkontext wird analysiert und passende Programmierschritte vorgeschlagen. (Bild: Emerson)")
:quality(80)/p7i.vogel.de/wcms/9a/51/9a5199a5ad49e895b4aef7e04fe629e2/0129255110v2.jpeg "Der Vector Network Analyzer CMT A2202 deckt Frequenzen bis 22 GHz ab. (Bild: Telemeter)")
:quality(80)/p7i.vogel.de/wcms/d9/d6/d9d68c274ac9c3c728978fac46c773ba/0129239468v2.jpeg "Mit dem Spektrumanalysator R&S FPL1044 bringt Rohde & Schwarz das Ka-Band in die Mittelklasse. (Bild: Rohde & Schwarz)")
:quality(80)/p7i.vogel.de/wcms/52/7a/527ad5ae7d10b9e34b72570639d7870c/plagiarius-zwerg-gnome-2849x1602v1.jpeg "Die Trophäe des Schmähpreises ist ein schwarzer Zwerg mit goldener Nase. Er soll die immensen Profite, die ideenlose Nachahmer auf Kosten von Kreativwirtschaft und Industrie erzielen, symbolisieren. (Bild: Aktion Plagiarius e.V.)")
:quality(80)/p7i.vogel.de/wcms/43/43/4343a389b15f84f683b7d1cdb4745d23/0129331527v2.jpeg "Der TSMC-Standort der Japan Advanced Semiconductor Manufacturing im japanischen Kumamoto. War in der im Bau befindlichen zweiten Fab zunächst nur die Fertigung von Halbleitern im N6-Verfahren vorgesehen, verhandelt der Auftragsfertiger derzeit mit der japanischen Regierung, um den Standort möglicherweise doch auf N3 aufzurüsten. (Bild: JASM)")
:quality(80)/p7i.vogel.de/wcms/89/6b/896bbee46d0440c8a01ce4d0dab325f0/0129302555v2.jpeg "Wir erleben eine paradoxe Situation: Die alten Speicher sind knapp, weil sie nicht mehr produziert werden, und die neuen Speicher sind knapp, weil sie noch technische Probleme haben. (Bild: Memphis Electronic)")
:quality(80)/p7i.vogel.de/wcms/69/1f/691f39ba12be3cad90eb88bdabc456a6/0127321404v2.jpeg "Das Kreativteam Christian Göller, GreatScott! und Christopher Becht (v. l. n. r.): erfolgreiches Creator-Marketing im B2B-Sektor (Bild: Würth Elektronik)")
:quality(80)/p7i.vogel.de/wcms/6a/cc/6acc4f803241cfe5b6d60560c0a2b4d9/0126684948v2.jpeg "In der Altersgruppe 25 bis 64 verfügen 34 Prozent der Deutschen über einen tertiären Abschluss im MINT-Bereich. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/aa/efaae5a25fb0a4c55c434611033447af/0126532350v2.jpeg "Die jährliche Back-to-School-Aktion von Digikey mit Preisen für Studierende ist gestartet. (Bild: Digikey)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/b6/60b601af20368/et-system-logo-rgb.png "et-system-logo-rgb (Logo)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/6f/626f9753a3e5a/a-category-images-970x300-logo.jpeg "a-category-images-970x300-logo (Treston)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/68800/68851/65.jpg "Logo.jpg ()")
Schäden (Payload)
Nach dem Durchlaufen des Packers kontrolliert der Bot zunächst, ob er über %APPDATA% ausgeführt wird oder nicht - dies ist der übliche Pfad zum Speicherort für Daten auf einem System unter Windows. Falls diese Überprüfung ergibt, dass es nicht so ist, kopiert er sich selbst an den entsprechenden Speicherort und startet (Grafik 4 in der Bildergalerie).
:quality(80)/images.vogel.de/vogelonline/bdb/1170100/1170145/original.jpg "(Fidelis)")
:quality(80)/images.vogel.de/vogelonline/bdb/1170100/1170149/original.jpg "(Fidelis)")
:quality(80)/images.vogel.de/vogelonline/bdb/1170100/1170142/original.jpg "(Fidelis)")
:quality(80)/images.vogel.de/vogelonline/bdb/1170100/1170141/original.jpg "(Fidelis)")
Nach dem Entpacken aller Komponenten beginnt die Malware ihren vorgesehenen Prozess zur Dateiverschlüsselung, der zuvor als 'Mischa' bezeichnet wurde. Ein Hinweis auf die Ransomware wird auf dem Desktop platziert (Grafik 5 in der Bildergalerie).
Anschließend startet das Schadprogramm den Aufbau einer Liste mit allen Dateien, die eine Erweiterung besitzen, die sich in der Liste der zu verschlüsselnden Dateitypen (Grafik 6 in der Bildergalerie) befindet. Diese werden verschlüsselt.
Die Verschlüsselung der Dateien erfolgt mittels AES (Advanced Encryption Standard), der Schlüssel basiert teilweise auf einem Hash mit 512 Bit (SHA512) (2). Sowohl die Routinen von AES als auch die von SHA512 sind in die Malware integriert, aber es werden auch Zufallsdaten über die Microsoft CryptoAPI generiert.
Entschlüsselung
Nach der Verschlüsselung erhalten die Dateien eine per Zufallsgenerator erstellte Erweiterung. Eine Untersuchung der Entschlüsselungsschnittstelle (Grafik 7 in der Bildergalerie) ergab, dass diese Erweiterungen wohl nirgendwo gespeichert sind, also bei jedem erfolgreichen Angriff einmalig verwendet werden.
Master Boot Record
Wenn die Malware Zugriff auf den Master Boot Record (MBR) hat, wird der ursprüngliche Bootloader codiert und in ein anderes Segment verschoben. Anschließend wird ein eigener 16-Bit-Bootloader installiert, der vorgibt, CHKDSK zu sein, in Wahrheit aber die Festplatte verschlüsselt (Grafik 8 in der Bildergalerie). Die durchgeführte Verschlüsselung nutzt das Verfahren Salsa20, das ursprünglich einige Designfehler aufwies (4). Diese wurden in den neueren Versionen allerdings behoben und zuvor eingesetzte Lösungen zur Festplattenentschlüsselung funktionieren nicht mehr.
Der Initiator
Der Hauptverantwortliche für diese Ransomware nutzt im Darknet den Namen "Janus". Wie viele Cyberkriminelle setzt er Social-Media-Kanäle ein, um Werbung für seine Malware zu machen. Ein Beispiel sind seine Meldungen per Twitter über @JanusSecretary, in denen er Informationen zu Neuigkeiten und Updates seiner Malware kommuniziert und sich unter anderem auch bei seinen erfolgreichen deutschen Distributoren bedankt (Grafik 9 in der Bildergalerie).
Zusammenfassung
Im Rahmen der GoldenEye-Ransomware-Attacke wurde wieder klar, wie weit die Cybercrime-Wirtschaft sich entwickelt, lokalisiert und ihr eigenes Geschäft gegen moderne Abwehrmechanismen schützen will. Zu beachten ist allerdings auch: Selbst, wenn diese Malware-Attacken sehr innovativ und komplex sind, gehören zu einem erfolgreichen Angriff auch gelungene Social-Engineering-Attacken und die Ausführung von Makros in Office-Dateien, die nur greifen können, wenn die entsprechenden Exploits nicht gepatcht sind. Auch viele andere Angriffswellen in letzter Zeit setzen auf manipulierte Skriptdateien. Daher sollten sich Anwender und Administratoren dieser Taktik stets bewusst sein. Das heißt: Weiterhin niemals Dateianhänge aus dubiosen Quellen öffnen, aber auch vermeintlich sichere Quellen können sich verdächtig verhalten und eine Gefahr darstellen. Weiterhin empfiehlt sich der Einsatz administrativer Tools, um beispielsweise die Ausführung von Makros zu verhindern, die nicht aus der eigenen Organisation stammen. Wird dies konsequent umgesetzt, sinkt die Wahrscheinlichkeit rapide, selbst zum Opfer zu werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1127200/1127282/original.jpg "Mit \"Goldeneye\" ist erneut ein Ransomware-Trojaner im Umflauf, der sich dieses Mal gezielt an Personalabteilungen deutschsprachiger Unternehmen richtet. Der Schädling gibt sich als Bewerbungsschreiben aus - einmal ausgeführt, werden sämtliche auf dem Rechner liegende Daten verschlüsselt. (bleepingcomputer.com)")
Trojaner "Goldeneye"
Neue Ransomware nimmt gezielt Personalabteilungen ins Visier
:quality(80)/images.vogel.de/vogelonline/bdb/1046500/1046563/original.jpg "Fesselnd: Wir betrachten, welche Malware-Familien aktuell am häufigsten für gesperrte Rechner verantwortlich sind. (www.pixabay.com)")
Crypto-Malware
Top 6 der erfolgreichen Ransomware-Familien
:quality(80)/images.vogel.de/vogelonline/bdb/980300/980325/original.jpg "Zerstörerisch, albern oder massiv lästig: Auch zu DOS-Zeiten zeigten sich Computerviren in den unterschiedlichsten Formen. Im Malware-Museum kann nun historische Malware der 80er und 90er Jahre sicher in emulierter Form betrachtet werden. (The Malware Museum / Mikko Hypponen)")
Emulation
Malware-Museum präsentiert die Computerviren der Vergangenheit
Dieser Beitrag erschien zuerst auf unserem Partnerportal Security Insider.
* Jason Reaves ist Security Researcher im Fidelis Threat Research Team.
(ID:44508428)
:quality(80)/p7i.vogel.de/wcms/30/e2/30e2cdc3c5364e3d0cce5c09b811af07/0126664093v2.jpeg "Ein erfolgreicher Phishing-Angriff erschüttert das Javascript-Ökosystem. Eine Malware hat ihren Weg in mindestens 18 via npm verbreitete Open-Source-Pakete gefunden, die es wöchentlich auf über zwei Millionen Downloads bringen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/44/24/44245763e93bd5e40c99e54f19540140/0128107767v2.jpeg "Security: Die Ransomware-as-a-Service-Gruppe „Dragonforce“ hat besonders die Produktionsindustrie im Visier. (Bild: Gerd Altmann)")