Was ist Ryuk-Ransomware?

Ryuk ist eine Art von Ransomware, die in der Regel auf sehr große Einrichtungen abzielt. Die Gruppe, die Ryuk betreibt, fordert von ihren Opfern hohe Lösegelder.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Die Funktionsweise der Ryuk-Ransomware beschreiben
  • Verstehen, wie die Gruppe hinter Ryuk arbeitet
  • Ein paar der wichtigsten Ryuk-Ransomware-Angriffe auflisten

Link zum Artikel kopieren

Was ist Ryuk-Ransomware?

Ryuk ist eine Art von Ransomware*, die Angreifer seit 2018 nutzen, um Geld von Unternehmen zu erpressen. Die Betreiber von Ryuk haben es auf größere Ziele abgesehen und verlangen ein höheres Lösegeld als die meisten Ransomware-Angreifer. Ryuk-Angriffe sind insofern ungewöhnlich, als sie einen erheblichen Überwachungs- und manuellen Aufwand erfordern, um ihre Ziele zu infizieren. (Für typische Ransomware-Gruppen ist ein Angriff mit so viel Aufwand weniger kosteneffizient.)

Die Gruppe, die angeblich hinter den meisten Ryuk-Ransomware-Angriffen steckt, nennt sich Wizard Spider. Wizard Spider betreibt auch den Malware-Trojaner TrickBot, bei dem es sich um eine böswillige Datei handelt, die als harmlos getarnt ist.

*Ransomware ist böswillige Software (Malware), die Dateien und Daten sperrt (meist durch Verschlüsselung) und dann Lösegeld verlangt. Der Angreifer oder die Gruppe, die die Ransomware kontrolliert, gibt die Dateien per Fernzugriff wieder frei, sobald das betroffene Unternehmen das Lösegeld bezahlt hat.

Wie dringt die Ryuk-Ransomware in ein Unternehmen ein?

Meistens gelangt der Ryuk-„Virus“ über eine TrickBot-Infektion in ein Netzwerk. TrickBot kann auf verschiedene Weise in ein Unternehmen eindringen. Spam-E-Mails sind eine der häufigsten Methoden. TrickBot verbreitet sich auch über das bereits existierende Emotet-Botnet, das die Computer mit böswilligen E-Mails – insbesondere mit Word-Dokumenten als E-Mail-Anhang – infiziert.

Sobald TrickBot ein Gerät infiziert hat, kann die Wizard Spider-Gruppe es nutzen, um die Ryuk-Ransomware zu installieren. Ryuk bewegt sich dann seitwärts innerhalb des Netzwerks und infiziert so viele angeschlossene Geräte wie möglich, ohne Sicherheitswarnungen auszulösen.

Wizard Spider verwendet verschiedene Techniken und Exploits, um die Ryuk-Infektion unbemerkt in einem Netzwerk zu verbreiten. Manchmal ist dies ein manueller Prozess – die Gruppe kann unter anderem böswillige Skripte in PowerShell (ein Dienstprogramm im Windows-Betriebssystem) aus der Ferne ausführen oder das Remote Desktop Protocol (RDP) ausnutzen.

Wie funktioniert die Ryuk-Ransomware?

Sobald Ryuk ausgeführt wird, verschlüsselt sie Dateien und Daten auf allen infizierten Computern, Netzlaufwerken und Netzwerkressourcen.

Laut dem Sicherheitsunternehmen CrowdStrike verwendet Ryuk die Algorithmen RSA-2048 und AES-256 zur Verschlüsselung von Dateien. RSA ist ein Verschlüsselungsalgorithmus mit öffentlichem Schlüssel, d. h. er generiert ein Schlüsselpaar für die Verschlüsselung von Dateien und Daten: einen öffentlichen Schlüssel und einen privaten Schlüssel. Wizard Spider ist im Besitz des privaten Schlüssels, sodass das Opfer die Dateien nicht selbst entschlüsseln kann.

Anders als die meisten Ransomware-Programme versucht Ryuk aktiv, Systemdateien zu verschlüsseln. Wie CrowdStrike beobachtet hat, hat sie versucht, Boot-Dateien zu verschlüsseln, die das Host-System instabil machen oder zum Absturz bringen würden, wenn es neu gebootet würde.

Normalerweise erscheint die Lösegeldforderung auf einem infizierten System als Textdatei (.txt). Ryuk erzeugt diese Datei, wenn sie ausgeführt wird. In der Lösegeldforderung werden die Opfer angewiesen, die Angreifer zu kontaktieren und das Lösegeld zu bezahlen.

Ryuk-Lösegeldzahlungen

Wizard Spider verlangt in der Regel eine Zahlung in Bitcoin und fordert oft Lösegeld in Höhe von 100.000 Dollar oder mehr. Eine US-Stadt zahlte nach einem Ryuk-Angriff 460.000 Dollar Lösegeld.

Im Jahr 2021 schätzten Experten, dass Wizard Spider mehr als 150 Millionen Dollar an Lösegeldzahlungen eingenommen hatte.

Was waren ein paar der wichtigsten Ryuk-Ransomware-Angriffe?

Angriff auf Tribune Publishing

Im Jahr 2018 verbreitete sich Ryuk über eine infizierte Software von Tribune Publishing auf mehrere Zeitungen in den USA. Die Angriffe unterbrachen den Zeitungsdruck für mehrere Tage.

Die Infektion der Universal Health Services (UHS)

Im Jahr 2020 wurde die IT-Infrastruktur der Universal Health Services (UHS) durch die Ransomware Ryuk lahmgelegt. Auf das Telefonsystem der Organisation und die Gesundheitsdaten der Patienten konnte nicht zugegriffen werden. Es dauerte etwa drei Wochen, bis UHS seine Systeme wiederherstellen konnte, und man schätzte die Verluste als Folge des Angriffs auf 67 Millionen Dollar.

Angriffe auf amerikanische Krankenhäuser im Jahr 2020

Neben den UHS-Krankenhäusern wurden im Jahr 2020 auch mehrere andere amerikanische Krankenhäuser Opfer von Ryuk-Ransomware-Angriffen. Die Angriffe verschlüsselten wichtige Daten, unterbrachen Behandlungen und verzögerten Verfahren für viele Patienten.

Wie verhält sich die Ryuk-Ransomware zur Hermes-Ransomware?

Hermes ist ein anderer, aber verwandter Stamm von Ransomware und kam erstmals im Jahr 2017 zum Einsatz. Hermes ist in der Ransomware-Unterwelt weit verbreitet. Im Laufe der Jahre haben viele Angreifer Hermes verwendet und es wird nicht mit einer bestimmten Gruppe in Verbindung gebracht.

Die Ransomware Ryuk basierte weitgehend auf Hermes. Zunächst teilte Ryuk viel Code mit Hermes, aber im Laufe der Zeit hat Wizard Spider Ryuk weiter verändert.

Wie man eine Infektion mit Ryuk Ransomware verhindert

  • Schulen Sie Ihre Nutzer, keine unerwarteten E-Mails und E-Mail-Anhänge zu öffnen: Die meisten Malware-Infektionen sind auf Fehler der Nutzer zurückzuführen, Ryuk ist da keine Ausnahme. Zwar kann die Wizard Spider-Gruppe Ryuk oft allein innerhalb eines Unternehmens verbreiten, aber die Erstinfektion beginnt in der Regel mit dem Öffnen oder Herunterladen eines böswilligen E-Mail-Anhangs durch einen Nutzer, was zu einer Infektion mit TrickBot oder Emotet führt. Sicherheitsschulungen für Nutzer können die Wahrscheinlichkeit eines solchen Vorfalls verringern.
  • Analysieren Sie Systeme auf bereits vorhandene Infektionen: Viele Ryuk-Angriffe finden statt, weil ein Netzwerk bereits mit TrickBot oder Emotet-Malware infiziert ist. Anti-Malware-Scans – eine wichtige Sicherheitsmaßnahme für Endgeräte – können dabei helfen, diese Infektionen zu erkennen und Netzwerkadministratoren in die Lage versetzen, infizierte Geräte zu isolieren.
  • Verwenden Sie ein Zero Trust-Sicherheitsmodell: In einem Zero Trust-Netzwerk sind keine Computergeräte standardmäßig vertrauenswürdig und die Geräte müssen ständig neu verifiziert werden. Dieser Ansatz schränkt den Zugang für infizierte Geräte ein und verhindert eine Kompromittierung des Netzwerks.
  • Sichern Sie regelmäßig Dateien und Daten: In einigen Fällen kann ein Unternehmen seine Daten aus einem Backup wiederherstellen, anstatt das Lösegeld zu zahlen oder seine gesamte IT-Infrastruktur neu aufzubauen.

Selbst mit diesen Methoden gibt es keine Garantie gegen einen Ryuk Ransomware-Angriff, so wie man keine Bedrohung zu 100 % verhindern kann. Allerdings können diese Schritte die Wahrscheinlichkeit einer Infektion erheblich verringern.

Wenn Sie Hilfe bei der Implementierung eines Zero Trust-Sicherheitsmodells benötigen, wenden Sie sich an Cloudflare One. Cloudflare One ist eine SASE-Plattform (Secure Access Service Edge) mit weitreichender Netzwerkkonnektivität und integrierter Zero Trust-Sicherheit.