Die Weiterentwicklung der Ryuk-Ransomware erfordert Strategien, um Angreifer zu überholen
Yonatan Striem-Amit, CTO, Mitbegründer, Cybereason, untersucht den Stand von Ransomware.
Im Jahr 1989 machte Ransomware ihr erstes Debüt mit 20,000 Disketten. Die als AIDS-Trojaner oder PC-Cyborg bezeichnete Malware wurde von einem Evolutionswissenschaftler, Dr. Joseph Popp, an Tausende von AIDS-Forschern verteilt. Mithilfe einfacher symmetrischer Kryptografie schränkte der bösartige Code den Zugriff auf Dateien ein und zeigte eine Anweisung an, eine Summe von 189 US-Dollar an ein Postfach in Panama zu senden. Ransomware ist seitdem viel raffinierter geworden, mit Lösegeldforderungen in Höhe von mehreren zehn Millionen Dollar, die verdeckt über Kryptowährung übertragen werden. Zu den gefährlichsten Ransomware-Varianten gehört Ryuk.
Ryuk entstand 2018 aus dem modifizierten Quellcode der Hermes-Ransomware und erntete Lösegeldzahlungen in Höhe der USA150 Mio. USD bis Anfang 2021. Typischerweise haben die Bedrohungsakteure hinter dieser Variante einen gezielten Ansatz verfolgt und Institutionen mit kritischen Vermögenswerten wie Regierungsbehörden und Gesundheitseinrichtungen identifiziert. So haben sie beispielsweise im September 2020 Universal Health Services, eine Kette von über 400 Gesundheitseinrichtungen in den USA und Großbritannien, in die Knie gezwungen.
Der Schlüssel zu ihrem bedauerlichen Erfolg geht jedoch über die Wahl des Opfers hinaus. Vielmehr ist es ihre Innovation, die Langlebigkeit ermöglicht hat. Tatsächlich haben sie im Laufe der Jahre mit ihren Taktiken, Techniken und Verfahren (TTPs) kontinuierliche Fortschritte gemacht. Seit 2019 gehen beispielsweise TrickBot, Emotet und Ryuk fast Hand in Hand und stellen eine dreifache Bedrohung dar.
Ein fortschrittlicher Banking-Trojaner, Emotet, wurde häufig als Dropper für andere Trojaner genutzt. Mit anderen Worten, es ermöglicht, dass andere Malware auf das Gerät und/oder die Systeme eines Opfers übertragen wird. In den meisten Fällen, in denen Ryuk involviert war, lieferte Emotet den TrickBot-Trojaner. TrickBot führt eine Erkundung durch, um den Wert des Netzwerks zu bestimmen, bevor er sich seitlich durch das Netzwerk bewegt. Kurz gesagt, es wird versucht, so viele Systeme wie möglich zu infizieren, damit beim Einsatz der Ryuk-Ransomware-Nutzlast die Unterbrechung weit verbreitet ist und die Lösegeldforderung erhöht werden kann. Ebenso wichtig zu beachten ist, dass der Trojaner, während er seinen Zugriff auf das Netzwerk ausdehnt, dabei hochsensible Daten und Zugangsdaten exfiltriert. Daher eröffnen sich zwei Wege für Erpressung: Organisationen verlieren nicht nur den Zugriff auf ihre Dateien durch Verschlüsselung, sondern die kompromittierten Daten können online durchsickern oder an den Meistbietenden verkauft werden, wenn das Lösegeld nicht bezahlt wird.
Mit der Zeit haben Sicherheitslösungen und Strafverfolgungsbehörden diese Taktik jedoch aufgegriffen und konnten ihren Ansatz verfeinern, um die roten Flaggen frühzeitig zu erkennen. Tatsächlich wurde Emotet im Januar 2020 im Rahmen einer internationalen Zusammenarbeit erfolgreich demontiert, was die Bedrohungsakteure dazu veranlasste, erneut die Gänge zu wechseln. Innerhalb weniger Monate wurde die BazarLoader Backdoor in Ryuks böswillige Operationen eingeführt. Im Gegensatz zu TrickBot beherrscht Bazar die Kunst des Ausweichens – indem es Anti-Analyse-Techniken einsetzt, um die Erkennung zu umgehen, indem eine verschlüsselte Hintertür direkt in den Speicher geladen wird.
In all diesen Fällen waren Phishing-E-Mails der häufigste Infektionsvektor. Während dies weiterhin der Fall ist, haben die Administratoren von Ryuk kürzlich ähnliche Angriffe per Telefonanruf unterstützt. Die Kampagne, die auch als „BazarCall“ bekannt ist, versucht, den Opfern vorzugaukeln, dass ein kostenloses Testabonnement bald abläuft und dass ihnen eine monatliche Abonnementgebühr in Rechnung gestellt wird, es sei denn, sie rufen an, um zu kündigen. Während des Anrufs leitet ein Operator die Person auf eine bösartige Webseite weiter, wo sie angewiesen wird, eine Datei herunterzuladen, die Makros aktiviert, die Übertragung von Malware erleichtert und Cyberkriminellen schließlich eine praktische Tastatursteuerung des betroffenen Geräts ermöglicht.
Laut Advanced Intelligence hat sich 2021 auch eine Verlagerung hin zur Kompromittierung des Remote Desktop Protocol (RDP) vollzogen, bei der Ryuk-Betreiber Brute-Force- oder groß angelegte Trial-and-Error-Versuche nutzen, um die Anmeldeinformationen exponierter RDP-Hosts zu erraten. Dies ist gekoppelt mit der Verwendung von Tools wie Bloodhound und AdFind, die einen detaillierten Einblick in das Active Directory der Organisation bieten. Das ist ein Überblick über die Umgebung des Unternehmens, einschließlich der beteiligten Benutzer und Geräte und ihrer Zugriffsrechte.
Schlimmer noch, der aktuelle Zustand von Ryuk scheint sich intensiviert zu haben, da es wurmähnliche Fähigkeiten übernommen hat. Nach einer Analyse der französischen nationalen Cybersicherheitsbehörde wurde festgestellt, dass Ryuk sich zu einem immer selbstständigeren Unternehmen entwickelt hat. Anstatt sich auf andere Malware zu verlassen, um sich über ein Netzwerk zu verbreiten, hat Ryuk begonnen, sich selbst zu verbreiten.
Das Geschäft mit Ransomware ist im letzten Jahr exponentiell gewachsen und hat Auswirkungen auf Tausende von Unternehmen weltweit. In der Tat, ein aktuelle Umfrage fanden heraus, dass 66 % der Unternehmen nach einem Ransomware-Angriff von erheblichen Umsatzeinbußen und 53 % von Marken- und Reputationsschäden berichteten. Darüber hinaus mussten alarmierende 26 % ihren Geschäftsbetrieb ganz einstellen. In Anbetracht der jüngsten Entwicklungen und ihrer Geschichte der Neuerfindung zeigt die Ryuk-Ransomware keine Anzeichen dafür, dass sie als prominenter Bedrohungsakteur auf dem Markt nachlässt.
WEITERLESEN:
- Ransomware-Angriffe stoppen, bevor sie stattfinden können
- Ransomware kommt herein und die Daten fluten heraus
- Vorbeugen ist besser als heilen: die Ransomware-Evolution
- Die sechs wichtigsten Tipps von Kaspersky zur Vermeidung von Ransomware-Angriffen
Wenn wir jedoch etwas aus der Flut von Cyberangriffen im Jahr 2021 gelernt haben, die Schlagzeilen gemacht haben – von Colonial Pipeline und JBS Foods –, müssen der öffentliche und der private Sektor jetzt investieren, um die Prävention und Erkennung zu verbessern und die Widerstandsfähigkeit zu verbessern. Die Bereitstellung von XDR auf allen Endpunkten ist ein großartiger Ausgangspunkt, da Angreifer sofort benachrichtigt werden, dass Verteidiger Sie sehen, und wir Ihre rechtswidrigen Angriffe als feindselige Handlungen betrachten.
Die Verteidiger werden auch unermüdlich daran arbeiten, Ihre Identitäten, Ihre Angriffsmethoden und die Namen von Organisationen aufzudecken, die Ihre Aktivitäten finanzieren oder anderweitig unterstützen. Lassen Sie sich darauf hinweisen, dass Ihr nächster Ransomware-Angriff wahrscheinlich Ihr letzter sein wird.
Folge uns auf LinkedIn und Twitter
