Anzeige

Anzeige

Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.

Dies entspricht etwa einem Drittel aller Ransomware-Angriffe, die in diesem Quartal durchgeführt wurden. Die explosionsartige Zunahme von Ryuk hat zudem dazu geführt, dass die Gesamtzahl der im 3. Quartal 2020 gemeldeten Ransomware-Angriffe im Vergleich zum gleichen Zeitraum in 2019 um 40 Prozent gestiegen ist.

Ryuk ist eine hochentwickelte Art von Ransomware, die gegen Organisationen auf der ganzen Welt eingesetzt wird, um sie aus ihren Computernetzen und Dateien auszusperren, bis das geforderte Lösegeld bezahlt wird. Ryuk verschlüsselt alle Zieldateien mit einer starken, auf AES-256 basierenden Verschlüsselung, mit Ausnahme der Dateien mit den Erweiterungen dll, lnk, hrmlog, ini und exe. Ryuk überspringt auch Dateien, die in den Verzeichnissen Windows System32, Chrome, Mozilla, Internet Explorer und Papierkorb gespeichert sind. Dieses Ausschlussverfahren soll vermutlich die Systemstabilität erhalten und Opfern den Zugriff auf einen Browser ermöglichen, um Lösegeldzahlungen zu leisten. Wie viele Ransomware versucht auch Ryuk, Datenträger-Schattenkopien zu löschen, um zu verhindern, dass die Opfer ihre Daten mit alternativen Mitteln wiederherstellen können.

Nach erfolgreicher Infektion der Zielsysteme, stellen die Täter Lösegeldforderungen in Höhe der geschätzten Zahlungskraft der Opfer. Nach Angaben von Forschern beträgt das durchschnittlich eingenommene Lösegeld etwa 750.000 Dollar (gezahlt in Bitcoin). Die bisher höchste bekannte Zahlung wird jedoch auf 34 Millionen Dollar geschätzt, die von einem unbekannten Unternehmen im Austausch für den Decryption Key übermittelt wurden.

Die russische Gruppe, die hinter den Angriffen steckt, ist dafür bekannt, dass sie hocheffektive manuelle Hacking-Techniken und Open-Source-Tools einsetzt, um sich seitlich in kompromittierten Netzwerken zu bewegen. Dies hilft den Cyberkriminellen, Zugang zu möglichst vielen Verwaltungsbereichen zu erhalten und ihre Spuren zu löschen oder zu verwischen, bevor sie die Ransomware zur Detonation bringen, was verheerende Folgen hat.

Welche Ziele Cyberkriminelle ins Visier nehmen

Cyberkriminelle nehmen mit Ryuk ein breites Spektrum von Sektoren ins Visier. Eines der Ziele sind Einrichtungen im Gesundheitswesen, von denen viele besonders gefährdet sind. Denn Krankenhäuser und Gesundheitseinrichtungen verfügen häufig über eine Fülle veralteter Netzwerkinfrastrukturen, die nur unzureichend vor solchen Cyberangriffen geschützt sind.

In den letzten Monaten haben Angriffe auf Krankenhäuser auf der ganzen Welt zu Störungen geführt. Im September 2020 legte ein Angriff Computersysteme im Universitätsklinikum Düsseldorf lahm und führte dazu, dass eine Patientin starb, da sie, statt in die nahegelegene Klinik, in ein weiter entferntes Krankenhaus gebracht werden musste. Es wird angenommen, dass Ryuk auch hinter dem jüngsten Ransomware-Angriff auf die Universal Health Services (UHS) steckt, die etwa 400 Krankenhäuser und Pflegezentren in den USA und in Großbritannien betreibt, und die Attacke damit einen der größten Cyberangriffe im Healthcare-Bereich in der Geschichte der USA darstellt.

Was Organisationen tun können, um sich wirksam zu schützen

Die Cybersicherheitsindustrie hat bereits zahlreiche Schritte unternommen, um Organisationen dabei zu helfen, sich gegen den Aufstieg von Ryuk zu verteidigen. So haben viele Anbieter von Advanced Threat Protection (ATP) kostenlose Policy Packs herausgebracht, mit denen Kunden ihre bestehenden Sicherheitstools und -lösungen aktualisieren können, um schnell verdächtige Netzwerkaktivitäten zu erkennen, die auf einen potenziellen Angriff durch Ryuk hinweisen. Hierzu gehören die Erkennung der massenhaften Bearbeitung von Dateien mit bekannten Ryuk-Ransomware-Erweiterungen, die Löschung von Volume-Schattenkopien und Versuche, eine Verbindung zu einer bekannten Command-and-Control-Infrastruktur herzustellen, die mit der Ransomware-Kampagne in Verbindung steht. Weiterhin können Organisationen die folgenden grundlegenden Schritte durchführen, um ihre Cybersicherheitsabwehr gegen Bedrohungen wie Ryuk zu stärken:

  • Regelmäßige Datensicherungen: Die Durchführung regelmäßiger Sicherungen aller wichtigen Organisationsdaten ist eine der besten Möglichkeiten, die Störungen von Arbeitsabläufen im Falle eines erfolgreichen Angriffs zu minimieren. Die sichere Aufbewahrung dieser Backups außerhalb des Hauptnetzwerks verhindert, dass sie als Teil eines Angriffs gelöscht oder verschlüsselt werden.
  • Sicherheitspatches auf dem neuesten Stand halten: Wie bereits erwähnt, sind die Anbieter von Cybersicherheitsdiensten bereits gut über Ryuk informiert, und die große Mehrheit hat ihre Produkte und Lösungen aktualisiert, um Ryuks Signaturen zu erkennen. Diese Aktualisierungen treten jedoch erst dann in Kraft, wenn Kunden die neuesten Sicherheits-Patches in ihren Netzwerken installieren. Daher ist es entscheidend, dass solche Patches installiert werden, sobald sie veröffentlicht werden.
  • Mitarbeiter über Cybersicherheit aufklären: Selbst fortschrittliche Cyber-Bedrohungen verlassen sich noch immer häufig auf die grundlegendsten Angriffsmethoden wie Phishing-E-Mails und Social-Engineering-Taktiken. Daher sollten in regelmäßigen Schulungen eine Aufklärung der Mitarbeiter durchgeführt werden, wie sie diese Angriffe erkennen können.
  • Ryuk stellt eine starke Bedrohung für Organisationen auf der ganzen Welt dar, insbesondere für Einrichtungen im Gesundheitswesen, von denen viele derzeit besonders anfällig sind. Daher ist es wichtig, dass Organisationen ihren bestehenden Schutz bewerten, Schwachstellen identifizieren und die richtigen Korrekturen umsetzen, um die Risiken dieser Angriffe zu minimieren.
Tim Bandos, Chief Information Security Officer
Tim Bandos
Chief Information Security Officer, Digital Guardian

Artikel zu diesem Thema

Hacker
Jan 06, 2021

Cyber-Crime-Trends 2021: Komplexere, intelligentere und aggressivere Attacken

Cyberkriminelle arbeiten ebenfalls aus dem Homeoffice – jedenfalls nehmen die Angriffe…
Hacker
Jan 04, 2021

Cyber-Angriffe 2021: Thread Hijacking, Whaling und Ransomware

HP stellt seine Cybersecurity-Prognosen für das Jahr 2021 vor und prognostiziert, dass…
MySQL
Dez 17, 2020

Automatisierter Ransomware-Befall auf MySQL-Servern

Guardicore hat eine aktuelle Ransomware-Kampagne aufgespürt, die MySQL-Datenbankserver…

Weitere Artikel

Hacker

Plan B der Hacker: Nach dem Angriff ist vor dem Angriff

In den vergangenen Wochen erbeuteten Cyberkriminelle in den aufsehenerregendsten Hackerattacken der vergangenen Jahre mehrere Millionen Dollar.
Social Engineering

Social Engineering-Angriff? Erst Informationen sammeln, dann losschlagen!

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.
Trojaner

Trojanische Pferde in der Klinik-IT

Cyberangriffe auf die heimische Gesundheits-Infrastruktur haben in den letzten Monaten massiv zugenommen – die Einfallstore für Hacker sind dabei vielfältig.
EM 2021

Cyberbedrohungen der EM 2021: COVID-19 als neuer Spieler

Dass internationale Veranstaltungen ideale Rahmenbedingungen für Cyberkriminelle bieten, ist nicht neu. Die Fußball-Europameisterschaft 2021 könnte jedoch in dieser Hinsicht alles Bisherige übertreffen.
Gefahr

Neue APT-Gruppe nimmt gezielt Diplomaten ins Visier

ESET-Forscher haben eine neue APT-Gruppe namens BackdoorDiplomacy entdeckt. Die Hacker haben es vor allem auf Außenministerien im Nahen Osten und in Afrika abgesehen.
Hacker

Angriffe auf KRITIS - Ändern Hacker ihre Strategie?

Cyberkriminelle nehmen immer häufiger kritische Infrastrukturen ins Visier und richten damit weltweite Schäden an. Sind die Angriffe auf JBS und Colonial Pipeline Zeichen für einen Strategiewechsel?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.