#125 – Was ist eigentlich ein Ryuk?

#123 – Was ist eigentlich ein UEFI?
1. November 2019
#125 – Was ist der Bitlocker?
15. November 2019

Heute dreht sich alles um das Thema: „Was ist eigentlich ein Ryuk?” 

 

Bei Ryuk handelt es sich um einen neuen hochriskanten Verschlüsselungstrojaner, der gezielt große Unternehmen und staatliche Behörden angreift, um immens hohe Lösegelder für die Entschlüsselung verschlüsselter Datenbestände zu fordern.

 

Der Verschlüsselungstrojaner Ryuk trat erstmals im August 2018 in Erscheinung und erwirtschaftete seitdem mindestens 705 Bitcoins Lösegeld – umgerechnet entspricht das derzeit 2,25 Millionen Euro. Aufgrund seiner Ähnlichkeit mit der Ransomware Hermes, gehen Sicherheitsexperten davon aus, dass beide Viren von der gleichen Hackergruppe entwickelt wurden und der Ursprung von Ryuk vermutlich in Russland liegt.

 

Ryuk tritt häufig in Kombination mit anderen Schadprogrammen wie Emotet und TrickBot auf. Er wird als besonders gefährlich eingestuft, da er neben der Verschlüsselung geschäftskritischer Daten, sämtliche Sicherungskopien die er in einem System und/ oder Netzwerk findet löscht und dadurch die Datenwiederherstellung erschwert.

 

Bevor es allerdings zu einer Infektion mit Ryuk kommt, öffnet der Trojaner Emotet seinen Mitstreitern die Tür zum Computersystem. Dabei installiert er sich in den meisten Fällen beim Öffnen eines infizierten E-Mail-Anhangs selbst und beginnt anschließend, das gesamte Computernetzwerk auszuspähen.

 

Im nächsten Schritt lädt er den Banking-Trojaner TrickBot nach. Dieser sammelt Informationen und sorgt für Datenabfluss. Dabei greift er vor allem Kontozugangsdaten für Bankkonten ab und gewährt den Hintermännern somit Einblick in die finanzielle Situation eines Unternehmens.

 

Zu guter Letzt hat dann die Ryuk-Ransomware ihren großen Auftritt. Wenn die Angreifer das Unternehmen als angemessen lukrativ für eine Lösegeldforderung einschätzen, lädt TrickBot schließlich die Verschlüsselungssoftware Ryuk herunter. Diese verschlüsselt vor allem geschäftskritische Datenbestände, welche bei der Auskundschaftung des Unternehmens als besonders wichtig eingestuft worden sind. Dabei nutzt sie die starken Verschlüsselungsalgorithmen RSA-4096 und AES-256. Darüber hinaus löscht sie im gleichen Zuge sämtliche Sicherungskopien, die sie finden kann.

 

Eine weitere Besonderheit von der Ryuk-Ransomware ist, dass sie im Gegensatz zu ihren Artgenossen, die verschlüsselten Daten nicht umbenennt, sondern eine Textdatei namens („RyukReadMe.txt“) erzeugt. Dessen Kopie fügt sie jedem vorhandenen Ordner bei, sodass die Betroffenen mehrere einzigartige Schlüssel benötigen, sprich mehr Lösegeld zahlen müssen, um die Daten zu entschlüsseln.

Im finalen Schritt fordert sie mittels einer Nachricht auf dem “Sperrbildschirm” die Betroffenen auf, das Lösegeld für die Entschlüsselung der Daten zu überweisen. Um hierbei die Spuren zu verwischen, werden die Zahlungen auf mehrere Bitcoin-Wallet aufgeteilt.

 

Wie kann man sich nun vor solchen gefährlichen Ryuk-Angriffen schützen?

Der beste Schutz gegen Ryuk-Angriffe ist, das man gar nicht erst mit infizierten Dokumenten und Dateien in Kontakt kommt und für ein rundum abgesichertes Unternehmensnetzwerk sorgt.

Damit ein Unternehmensnetzwerk wirklich sicher ist, müssen Sie alle Komponenten innerhalb des Netzwerks sichern, aufeinander abstimmen und auf dem neuesten Stand halten. All dies erreichen sie unter anderem durch:

●       Updates und Patches, die möglichst zeitnah nach Veröffentlichung installiert werden. Damit kann man bekannte Sicherheitslücken, Schwachstellen und mögliche Einfallstore in Betriebssystemen oder Anwendungen schließen.

●       einer aktuellen Antiviren-Software, die viele Schädlinge erkennt, blockiert und beseitigt, so dass es gar nicht erst zu deren Ausführung  kommt.

●       einer richtig konfigurierten Firewall,  die die Kommunikation zwischen Netzwerk und Internet überwacht. Sobald sie einen verdächtigen Datenfluss registriert, wird diese gemeldet und die Kommunikation geblockt.

●       einen Spamfilter, der eine ganze Menge schädlicher E-Mails aussortiert, so dass diese gar nicht erst in einem E-Mail Postfach landen. Allerdings können Spamfilter im  Falle von Emotet und Ryuk nicht ausreichend sein. Hier müssen alle Mitarbeiter im richtigen Umgang mit E-Mails samt E-Mail Anhängen geschult werden.

●       regelmäßige Security-Awareness Trainings. Dadurch können sowohl Mitarbeiter, als auch die Geschäftsführung und alle Anwender in einem Unternehmensnetzwerk für potentielle Gefahren sensibilisiert und im Umgang mit diesen geschult werden.

●       regelmäßige Backups, die im Falle eines Angriffs oder eines Ausfallszenarios einen Datenverlust minimieren.

●       die Deaktivierung von Makros in Office-Dokumenten

Kommt es allerdings doch zu einem Sicherheitsvorfall müssen Sie Ruhe bewahren und dürfen unter keinen Umständen voreilige Maßnahmen treffen, die womöglich die Situation noch verschlimmern oder für die Analyse wertvolle Spuren vernichten könnten.

Melden Sie den Vorfall an das BSI. Beim Abfluss personenbezogener Daten – was bei Emotet-Infektionen bereits durch das Ausspähen von E‑Mails aus Outlook-Postfächern geschieht – ist außerdem eine Meldung gemäß Art. 33 DSGVO an Ihren Landesdatenschutzbeauftragten in der Regel innerhalb von 72 Stunden verpflichtend. Darüber hinaus sollten sie eine Sprachregelung  zum Vorfall formulieren und Ihre Mitarbeiter informieren.

Im Fall einer Verschlüsselung von Daten sollten Sie grundsätzlich nicht auf die Erpressung eingehen und Lösegeld bezahlen. Stattdessen sollten die Daten nach einem Neuaufbau des Netzwerks aus Backups zurückgespielt werden.

Bevor wir nun zum Schluss unseres heutigen Podcasts kommen, möchte ich noch einmal ganz kurz alle wichtigen und jüngsten Fakten über die Ransomware Ryuk zusammenfassen:             

  • Ryuk greift gezielt große Unternehmen und staatliche Behörden an, die erstens in der Lage sind hohe Lösegeldforderungen zu zahlen. Zweitens bereits mit den Schadprogrammen Emotet und TrickBot infiziert wurden.
  • Vor dem Ausrollen von Ryuk führen die Hintermänner mithilfe der Standard-Tools der Windows-Befehlszeile eine Netzwerkerkundung durch.
  • Die Hintermänner erreichen eine Lateral-Bewegung durch die Netzwerke der Betroffenen, indem sie die legitimen, gesammelten Anmeldeinformationen und Fernzugriffs-Tools wie RDP missbrauchen
  • Um den Zugang aufrechtzuerhalten, erstellen die Cyberkriminellen Service-Benutzerkonten, die auch verwendet werden können, um auf Recovery-Bemühungen zu reagieren
  • Sobald die Hintermänner Zugriff auf Konten mit erweiterten Rechten haben, deaktivieren bzw. entfernen Sie Sicherheitssoftware, Protokollierung und Backups
  • Außerdem werden Batchskripts und Windows-Tools wie PsExec genutzt,  um Ryuk über einzelne Maschinen hinweg einzusetzen.                 

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Schreibe einen Kommentar