Der Aufstieg von Ryuk: Verteidigung gegen eine tödliche neue Ransomware

11. Januar 2021

Tim Bandos, CISO bei Digitaler Wächter, befasst sich mit dem Aufkommen einer neuen Art von Ransomware und wie man ihrer Bedrohung am besten begegnen kann

Das explosive Wachstum der Ryuk-Ransomware hat zu einem massiven Anstieg geführt 40% Anstieg in der Gesamtzahl der im 3. Quartal 2020 gemeldeten Ransomware-Angriffe im Vergleich zum gleichen Zeitraum im Jahr 2019, was einer weltweiten Gesamtzahl von über 200 Millionen entspricht. Auch wenn die Ransomware Ryuk nicht ganz neu ist (erstmals im Jahr 2018 aufgetaucht), hat ihre Popularität unter Cyberkriminellen in den letzten zwölf Monaten stark zugenommen.

Die neuesten Zahlen zeigen, dass die Ryuk-Erkennungen von nur 5,123 im dritten Quartal 3 auf über gestiegen sind 67 Millionen im vierten Quartal 3 – das entspricht etwa einem Drittel aller Ransomware-Angriffe, die im Quartal durchgeführt wurden. Was also ist Ryuk-Ransomware und wie nutzen Kriminelle sie, um Organisationen anzugreifen, insbesondere im Gesundheitssektor?

Was ist Ryuk?

Ryuk ist eine hochentwickelte Art von Ransomware, die verwendet wird, um Unternehmen auf der ganzen Welt anzugreifen und sie aus ihren Computernetzwerken und Dateien auszusperren, bis ein Lösegeld gezahlt wird. Nach der Bereitstellung verschlüsselt Ryuk alle Zieldateien mit einer starken Verschlüsselung auf Basis von AES-256, mit Ausnahme der Dateien mit den Erweiterungen dll, lnk, hrmlog, ini und exe. Es überspringt auch Dateien, die in den Verzeichnissen Windows System32, Chrome, Mozilla, Internet Explorer und Papierkorb gespeichert sind. Diese Ausschlussregeln dienen vermutlich dazu, die Systemstabilität zu wahren und es den Opfern zu ermöglichen, auf einen Browser zuzugreifen und ihn zu verwenden, um Lösegeldzahlungen zu leisten.

Könnte die Bereitstellung von Daten an vorderster Front Unternehmen helfen, widerstandsfähig zu bleiben?
Trending
Könnte die Bereitstellung von Daten an vorderster Front Unternehmen helfen, widerstandsfähig zu bleiben?

Wie viele Ransomware-Programme versucht auch Ryuk, Volumenschattenkopien zu löschen, um zu verhindern, dass Opfer ihre Daten auf alternative Weise wiederherstellen. 

Mehr lesen: Welche Sicherheitsrisiken sind mit USB-Medien verbunden?

Ist das Opfer infiziert, stellen die Täter Lösegeldforderungen nach wahrgenommener Zahlungsfähigkeit. Laut Forschern liegt das durchschnittlich gesammelte Lösegeld bei etwa $750,000 (bezahlt in Bitcoin), aber die bisher höchste bekannte Zahlung wird als atemberaubend angesehen 34 Mio. US$, bezahlt von einem unbekannten Unternehmen im Austausch für den Entschlüsselungsschlüssel.

Die russische Gruppe hinter den Angriffen ist dafür bekannt, hochwirksame manuelle Hacking-Techniken und Open-Source-Tools einzusetzen, um sich seitlich in kompromittierten Netzwerken zu bewegen. Dies hilft ihnen, Zugang zu so vielen Verwaltungsbereichen wie möglich zu erhalten und ihre Spuren zu löschen/verwischen, bevor sie die Ransomware zur Detonation bringen, mit verheerenden Folgen.

Wer wird ins Visier genommen?

Die Daten zeigen, dass eine Vielzahl von Sektoren angegriffen werden, aber eines der Hauptziele scheinen Gesundheits- und Sozialdienstleister zu sein, von denen viele derzeit aufgrund der anhaltenden Coronavirus-Pandemie besonders gefährdet sind. Dies liegt daran, dass Krankenhäuser und Gesundheitseinrichtungen oft über eine Fülle an veralteter Netzwerkinfrastruktur verfügen, die vor Cyberangriffen dieser Art unzureichend geschützt ist. In Kombination mit dem Chaos und den angespannten Ressourcen, die durch die Pandemie verursacht werden, werden sie zu perfekten Opfern.  

In den letzten Monaten haben Angriffe Krankenhäuser auf der ganzen Welt mit tödlichen Folgen lahmgelegt. Im September legte ein Angriff Computersysteme lahm Universitätsklinik Düsseldorf in Deutschland, was dazu führte, dass eine Patientin starb, als Ärzte versuchten, sie aus der Einrichtung zu verlegen. Es wird auch angenommen, dass Ryuk hinter dem jüngsten Ransomware-Angriff auf steckt Universelle Gesundheitsdienste (UHS), das rund 400 Krankenhäuser und Pflegezentren in den USA und Großbritannien betreibt, was es zu einem der größten medizinischen Cyberangriffe in der Geschichte der USA macht.

Was können Organisationen tun, um sich effektiv zu schützen?

Glücklicherweise hat die Cybersicherheitsbranche zahlreiche Schritte unternommen, um Organisationen dabei zu helfen, sich gegen den Aufstieg von Ryuk zu verteidigen. Viele Advanced Threat Protection (ATP)-Anbieter wie z Digitaler Wächter haben bereits kostenlose Richtlinienpakete veröffentlicht, die es Kunden ermöglichen, ihre bestehenden Sicherheitstools und -lösungen zu aktualisieren, um Signaturnetzwerkaktivitäten schnell zu erkennen, die auf einen möglichen Angriff hindeuten. Dazu gehören die Erkennung der Massendateibearbeitung bekannter Ryuk-Ransomware-Erweiterungen, das Löschen von Volumenschattenkopien und Versuche, eine Verbindung zu einer bekannten Befehls- und Kontrollinfrastruktur im Zusammenhang mit der Ransomware-Kampagne herzustellen. An anderer Stelle können Organisationen die folgenden grundlegenden Schritte implementieren, um ihre Cybersicherheitsabwehr gegen Bedrohungen wie Ryuk zu stärken:

  • Führen Sie regelmäßige Datensicherungen durch – Die Durchführung regelmäßiger Backups aller wichtigen Unternehmensdaten ist eine der besten Möglichkeiten, um Unterbrechungen im Falle eines erfolgreichen Verstoßes zu minimieren. Durch sicheres Speichern dieser Backups außerhalb des Hauptnetzwerks wird verhindert, dass sie im Rahmen eines Angriffs gelöscht oder verschlüsselt werden.
  • Sicherheitspatches aktuell halten – Wie oben erwähnt, kennen Cybersicherheitsanbieter Ryuk bereits und die überwiegende Mehrheit hat ihre Produkte und Lösungen aktualisiert, um seine Signaturen zu erkennen. Diese Updates treten jedoch erst in Kraft, wenn Kunden die neuesten Sicherheitspatches in ihren Netzwerken installieren. Daher ist es wichtig, dass solche Patches installiert werden, sobald sie veröffentlicht werden. 
  • Informieren Sie Ihre Mitarbeiter über Cybersicherheit – Selbst fortschrittliche Cyber-Bedrohungen verlassen sich oft immer noch auf die einfachsten Methoden, um ein Ziel zu infiltrieren, wie z. B. Phishing-E-Mails und Social Engineering. Durch die Durchführung regelmäßiger Schulungen und die Schulung der Mitarbeiter, solche Methoden zu erkennen und zu vermeiden, können sich Organisationen jeder Art und Größe die enormen Kopfschmerzen ersparen, die durch einen erfolgreichen Cyberangriff verursacht werden.

Die Ryuk-Ransomware stellt eine sehr reale Bedrohung für Organisationen auf der ganzen Welt dar, insbesondere im Gesundheits- und Sozialwesen, von denen viele derzeit besonders anfällig sind. Glücklicherweise gibt es eine Reihe effektiver Maßnahmen, die ergriffen werden können, um den Schutz dagegen zu erhöhen, aber der Schwerpunkt liegt auf einzelnen Organisationen, um sicherzustellen, dass sie ihren bestehenden Schutz bewertet, Schwachstellen identifiziert und die richtigen Korrekturen implementiert haben, bevor es zu spät ist.

 

Wir glauben, dass Ihnen Folgendes gefallen wird:

Tim Bandos

Tim Bandos, CISSP, CISA, CEH ist Vice President of Cybersecurity bei Digital Guardian und Experte für Vorfallreaktion und Bedrohungssuche. Er verfügt über mehr als 15 Jahre Erfahrung in der Welt der Cybersicherheit und verfügt über eine Fülle praktischer Kenntnisse, die er durch die Verfolgung und Jagd fortschrittlicher Bedrohungen erworben hat, die auf den Diebstahl hochsensibler Daten abzielen. Den größten Teil seiner Karriere verbrachte er bei einem Fortune-100-Unternehmen, wo er eine Incident Response-Organisation aufbaute und jetzt das globale Security Operation Center für Managed Detection & Response von Digital Guardian leitet.

Cheltenham MSP ist erster offizieller lokaler Cyberberater

Neil Smith, Geschäftsführer von ReformIT • 23. April 2024

ReformIT, ein Managed IT Service and Security Provider (MSP) mit Sitz in der britischen Cyber-Hauptstadt Cheltenham, ist der erste MSP in der Region, der sowohl als Cyber ​​Advisor als auch als Cyber ​​Essentials-Zertifizierungsstelle akkreditiert wurde. Das Cyber ​​Advisor-Programm wurde vom offiziellen National Cyber ​​Security Center (NCSC) der Regierung und dem ... ins Leben gerufen.

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Was ist eine User Journey?

Erin Lanahan • 19. April 2024

User Journey Mapping ist der Kompass, der Unternehmen zu kundenorientiertem Erfolg führt. Durch die sorgfältige Verfolgung der Schritte, die Benutzer bei der Interaktion mit Produkten oder Dienstleistungen unternehmen, erhalten Unternehmen tiefgreifende Einblicke in die Bedürfnisse und Verhaltensweisen der Benutzer. Das Verständnis der Emotionen und Vorlieben der Benutzer an jedem Berührungspunkt ermöglicht die Schaffung maßgeschneiderter Erlebnisse, die tiefe Resonanz finden. Durch strategische Segmentierung, personengesteuertes Design,...

Von Schatten-IT zu Schatten-KI

Markus Molyneux • 16. April 2024

Mark Molyneux, EMEA CTO von Cohesity, erklärt, welche Herausforderungen diese Entwicklung mit sich bringt und warum Unternehmen bei aller Begeisterung nicht alte Fehler aus der frühen Cloud-Ära wiederholen sollten.

Behebung des IT-Debakels im öffentlichen Sektor

Markus Grindey • 11. April 2024

Die IT-Dienste des öffentlichen Sektors sind nicht mehr zweckdienlich. Ständige Sicherheitsverletzungen. Inakzeptable Ausfallzeiten. Endemische Überausgaben. Verzögerungen bei wichtigen Serviceinnovationen, die die Kosten senken und das Erlebnis der Bürger verbessern würden.

Das Beste aus der Technik trifft sich im Mai auf der VivaTech

Viva Technologie • 10. April 2024

Als wahrer Treffpunkt für Wirtschaft und Innovation verspricht die VivaTech einmal mehr zu zeigen, warum sie zu einem unverzichtbaren Termin im internationalen Geschäftskalender geworden ist. Mit seiner wachsenden globalen Reichweite und dem Schwerpunkt auf entscheidenden Themen wie KI, nachhaltige Technologie und Mobilität ist VivaTech die erste Adresse für die Entschlüsselung aufkommender Trends und die Bewertung ihrer wirtschaftlichen Auswirkungen.

Warum OEMs die digitale Transformation vorantreiben müssen

James Smith und Chris Hanson • 04. April 2024

James Smith, Head of Client Services, und Chris Hanson, Head of Data bei One Nexus, erklären, warum es für OEMs von entscheidender Bedeutung ist, ihre Händlernetzwerke mit Informationen auszustatten, um neue Einnahmequellen zu erschließen und gleichzeitig die Kundenbeziehungen zu stärken, die zur Aufrechterhaltung der Loyalität erforderlich sind sich schnell verändernder Markt.