Der Aufstieg von Ryuk: Verteidigung gegen eine tödliche neue Ransomware

Tim Bandos, CISO bei Digitaler Wächter, befasst sich mit dem Aufkommen einer neuen Art von Ransomware und wie man ihrer Bedrohung am besten begegnen kann




Das explosive Wachstum der Ryuk-Ransomware hat zu einem massiven Anstieg geführt 40% Anstieg in der Gesamtzahl der im 3. Quartal 2020 gemeldeten Ransomware-Angriffe im Vergleich zum gleichen Zeitraum im Jahr 2019, was einer weltweiten Gesamtzahl von über 200 Millionen entspricht. Auch wenn die Ransomware Ryuk nicht ganz neu ist (erstmals im Jahr 2018 aufgetaucht), hat ihre Popularität unter Cyberkriminellen in den letzten zwölf Monaten stark zugenommen.

Die neuesten Zahlen zeigen, dass die Ryuk-Erkennungen von nur 5,123 im dritten Quartal 3 auf über gestiegen sind 67 Millionen im vierten Quartal 3 – das entspricht etwa einem Drittel aller Ransomware-Angriffe, die im Quartal durchgeführt wurden. Was also ist Ryuk-Ransomware und wie nutzen Kriminelle sie, um Organisationen anzugreifen, insbesondere im Gesundheitssektor?


Was ist Ryuk?


Ryuk ist eine hochentwickelte Art von Ransomware, die verwendet wird, um Unternehmen auf der ganzen Welt anzugreifen und sie aus ihren Computernetzwerken und Dateien auszusperren, bis ein Lösegeld gezahlt wird. Nach der Bereitstellung verschlüsselt Ryuk alle Zieldateien mit einer starken Verschlüsselung auf Basis von AES-256, mit Ausnahme der Dateien mit den Erweiterungen dll, lnk, hrmlog, ini und exe. Es überspringt auch Dateien, die in den Verzeichnissen Windows System32, Chrome, Mozilla, Internet Explorer und Papierkorb gespeichert sind. Diese Ausschlussregeln dienen vermutlich dazu, die Systemstabilität zu wahren und es den Opfern zu ermöglichen, auf einen Browser zuzugreifen und ihn zu verwenden, um Lösegeldzahlungen zu leisten.

Wie viele Ransomware-Programme versucht auch Ryuk, Volumenschattenkopien zu löschen, um zu verhindern, dass Opfer ihre Daten auf alternative Weise wiederherstellen. 



Mehr lesen: Welche Sicherheitsrisiken sind mit USB-Medien verbunden?



Ist das Opfer infiziert, stellen die Täter Lösegeldforderungen nach wahrgenommener Zahlungsfähigkeit. Laut Forschern liegt das durchschnittlich gesammelte Lösegeld bei etwa $750,000 (bezahlt in Bitcoin), aber die bisher höchste bekannte Zahlung wird als atemberaubend angesehen 34 Mio. US$, bezahlt von einem unbekannten Unternehmen im Austausch für den Entschlüsselungsschlüssel.

Die russische Gruppe hinter den Angriffen ist dafür bekannt, hochwirksame manuelle Hacking-Techniken und Open-Source-Tools einzusetzen, um sich seitlich in kompromittierten Netzwerken zu bewegen. Dies hilft ihnen, Zugang zu so vielen Verwaltungsbereichen wie möglich zu erhalten und ihre Spuren zu löschen/verwischen, bevor sie die Ransomware zur Detonation bringen, mit verheerenden Folgen.


Wer wird ins Visier genommen?


Die Daten zeigen, dass eine Vielzahl von Sektoren angegriffen werden, aber eines der Hauptziele scheinen Gesundheits- und Sozialdienstleister zu sein, von denen viele derzeit aufgrund der anhaltenden Coronavirus-Pandemie besonders gefährdet sind. Dies liegt daran, dass Krankenhäuser und Gesundheitseinrichtungen oft über eine Fülle an veralteter Netzwerkinfrastruktur verfügen, die vor Cyberangriffen dieser Art unzureichend geschützt ist. In Kombination mit dem Chaos und den angespannten Ressourcen, die durch die Pandemie verursacht werden, werden sie zu perfekten Opfern.  

In den letzten Monaten haben Angriffe Krankenhäuser auf der ganzen Welt mit tödlichen Folgen lahmgelegt. Im September legte ein Angriff Computersysteme lahm Universitätsklinik Düsseldorf in Deutschland, was dazu führte, dass eine Patientin starb, als Ärzte versuchten, sie aus der Einrichtung zu verlegen. Es wird auch angenommen, dass Ryuk hinter dem jüngsten Ransomware-Angriff auf steckt Universelle Gesundheitsdienste (UHS), das rund 400 Krankenhäuser und Pflegezentren in den USA und Großbritannien betreibt, was es zu einem der größten medizinischen Cyberangriffe in der Geschichte der USA macht.


Was können Organisationen tun, um sich effektiv zu schützen?


Glücklicherweise hat die Cybersicherheitsbranche zahlreiche Schritte unternommen, um Organisationen dabei zu helfen, sich gegen den Aufstieg von Ryuk zu verteidigen. Viele Advanced Threat Protection (ATP)-Anbieter wie z Digitaler Wächter haben bereits kostenlose Richtlinienpakete veröffentlicht, die es Kunden ermöglichen, ihre bestehenden Sicherheitstools und -lösungen zu aktualisieren, um Signaturnetzwerkaktivitäten schnell zu erkennen, die auf einen möglichen Angriff hindeuten. Dazu gehören die Erkennung der Massendateibearbeitung bekannter Ryuk-Ransomware-Erweiterungen, das Löschen von Volumenschattenkopien und Versuche, eine Verbindung zu einer bekannten Befehls- und Kontrollinfrastruktur im Zusammenhang mit der Ransomware-Kampagne herzustellen. An anderer Stelle können Organisationen die folgenden grundlegenden Schritte implementieren, um ihre Cybersicherheitsabwehr gegen Bedrohungen wie Ryuk zu stärken:

  • Führen Sie regelmäßige Datensicherungen durch – Die Durchführung regelmäßiger Backups aller wichtigen Unternehmensdaten ist eine der besten Möglichkeiten, um Unterbrechungen im Falle eines erfolgreichen Verstoßes zu minimieren. Durch sicheres Speichern dieser Backups außerhalb des Hauptnetzwerks wird verhindert, dass sie im Rahmen eines Angriffs gelöscht oder verschlüsselt werden.
  • Sicherheitspatches aktuell halten – Wie oben erwähnt, kennen Cybersicherheitsanbieter Ryuk bereits und die überwiegende Mehrheit hat ihre Produkte und Lösungen aktualisiert, um seine Signaturen zu erkennen. Diese Updates treten jedoch erst in Kraft, wenn Kunden die neuesten Sicherheitspatches in ihren Netzwerken installieren. Daher ist es wichtig, dass solche Patches installiert werden, sobald sie veröffentlicht werden. 
  • Informieren Sie Ihre Mitarbeiter über Cybersicherheit – Selbst fortschrittliche Cyber-Bedrohungen verlassen sich oft immer noch auf die einfachsten Methoden, um ein Ziel zu infiltrieren, wie z. B. Phishing-E-Mails und Social Engineering. Durch die Durchführung regelmäßiger Schulungen und die Schulung der Mitarbeiter, solche Methoden zu erkennen und zu vermeiden, können sich Organisationen jeder Art und Größe die enormen Kopfschmerzen ersparen, die durch einen erfolgreichen Cyberangriff verursacht werden.

Die Ryuk-Ransomware stellt eine sehr reale Bedrohung für Organisationen auf der ganzen Welt dar, insbesondere im Gesundheits- und Sozialwesen, von denen viele derzeit besonders anfällig sind. Glücklicherweise gibt es eine Reihe effektiver Maßnahmen, die ergriffen werden können, um den Schutz dagegen zu erhöhen, aber der Schwerpunkt liegt auf einzelnen Organisationen, um sicherzustellen, dass sie ihren bestehenden Schutz bewertet, Schwachstellen identifiziert und die richtigen Korrekturen implementiert haben, bevor es zu spät ist.


 

Tim Bandos

Tim Bandos, CISSP, CISA, CEH ist Vice President of Cybersecurity bei Digital Guardian und Experte für Vorfallreaktion und Bedrohungssuche. Er verfügt über mehr als 15 Jahre Erfahrung in der Welt der Cybersicherheit und verfügt über eine Fülle praktischer Kenntnisse, die er durch die Verfolgung und Jagd fortschrittlicher Bedrohungen erworben hat, die auf den Diebstahl hochsensibler Daten abzielen. Den größten Teil seiner Karriere verbrachte er bei einem Fortune-100-Unternehmen, wo er eine Incident Response-Organisation aufbaute und jetzt das globale Security Operation Center für Managed Detection & Response von Digital Guardian leitet.

Erzielen Sie Produktivitäts- und Effizienzsteigerungen durch Datenmanagement

Russ Kennedy • 04. Juli 2023

Unternehmensdaten sind seit vielen Jahren eng mit Hardware verknüpft, doch jetzt ist ein spannender Wandel im Gange, da die Ära der Hardware-Unternehmen vorbei ist. Mit fortschrittlichen Datendiensten, die über die Cloud verfügbar sind, können Unternehmen auf Investitionen in Hardware verzichten und das Infrastrukturmanagement zugunsten des Datenmanagements aufgeben.