Thought Leadership
Das Advanced Threat Research (ATR)-Team von McAfee Enterprise veröffentlicht neue Erkenntnisse über die Strategie der Ransomware-as-a-Service-Gruppe – Ryuk.
McAfee Enterprise fand heraus, dass das neu entdeckte Muster von Ryuk nun ausschließlich auf Webserver abzielt.
Ryuk-Ransomware wurde erstmals im August 2018 während einer Kampagne beobachtet, die auf mehrere Unternehmen abzielte. Bisher war sie dafür bekannt, die Dateien der Opfer zu verschlüsseln und eine Zahlung in der Kryptowährung Bitcoin zu verlangen, um die Dateien wieder freizugeben. Das von McAfee Enterprise neu entdeckte Malware-Sample verfügt über neue Funktionalitäten, die dazu genutzt werden, den Schaden für die anvisierten Unternehmen zu erhöhen.
Die wichtigsten neuen Erkenntnisse:
- Das neue Ryuk-Sample hat seine Aufmerksamkeit auf Webserver verlagert, da es nicht mehr die Index-Datei verschlüsselt, sondern diese durch die Lösegeldforderung ersetzt.
- Aufgrund der Zielgenauigkeit von Ryuk-Angriffen sind die initialen Infektionsvektoren auf das Ziel zugeschnitten.
- Häufig anzutreffende Anfangsvektoren sind Spear-Phishing-E-Mails, die Ausnutzung kompromittierter Zugangsdaten zu Remote-Zugriffssystemen und die Verwendung früherer Commodity-Malware-Infektionen.
- Die neue Lösegeldforderung verlangt von den Opfern, ein Programm zu installieren, um den Kontakt mit den Akteuren zu erleichtern. Nach der Dateiverschlüsselung druckt die Ransomware 50 Kopien der Lösegeldforderung auf dem Standarddrucker des Benutzers aus.
- Diese neue Funktion wurde eingebaut, um die Opfer unter Druck zu setzen, das Lösegeld zu zahlen.
www.mcafee.com
