Ryuk ist eine Art von Ransomware, die in der Regel auf sehr große Einrichtungen abzielt. Die Gruppe, die Ryuk betreibt, fordert von ihren Opfern hohe Lösegelder.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ryuk ist eine Art von Ransomware*, die Angreifer seit 2018 nutzen, um Geld von Unternehmen zu erpressen. Die Betreiber von Ryuk haben es auf größere Ziele abgesehen und verlangen ein höheres Lösegeld als die meisten Ransomware-Angreifer. Ryuk-Angriffe sind insofern ungewöhnlich, als sie einen erheblichen Überwachungs- und manuellen Aufwand erfordern, um ihre Ziele zu infizieren. (Für typische Ransomware-Gruppen ist ein Angriff mit so viel Aufwand weniger kosteneffizient.)
Die Gruppe, die angeblich hinter den meisten Ryuk-Ransomware-Angriffen steckt, nennt sich Wizard Spider. Wizard Spider betreibt auch den Malware-Trojaner TrickBot, bei dem es sich um eine böswillige Datei handelt, die als harmlos getarnt ist.
*Ransomware ist böswillige Software (Malware), die Dateien und Daten sperrt (meist durch Verschlüsselung) und dann Lösegeld verlangt. Der Angreifer oder die Gruppe, die die Ransomware kontrolliert, gibt die Dateien per Fernzugriff wieder frei, sobald das betroffene Unternehmen das Lösegeld bezahlt hat.
Meistens gelangt der Ryuk-„Virus“ über eine TrickBot-Infektion in ein Netzwerk. TrickBot kann auf verschiedene Weise in ein Unternehmen eindringen. Spam-E-Mails sind eine der häufigsten Methoden. TrickBot verbreitet sich auch über das bereits existierende Emotet-Botnet, das die Computer mit böswilligen E-Mails – insbesondere mit Word-Dokumenten als E-Mail-Anhang – infiziert.
Sobald TrickBot ein Gerät infiziert hat, kann die Wizard Spider-Gruppe es nutzen, um die Ryuk-Ransomware zu installieren. Ryuk bewegt sich dann seitwärts innerhalb des Netzwerks und infiziert so viele angeschlossene Geräte wie möglich, ohne Sicherheitswarnungen auszulösen.
Wizard Spider verwendet verschiedene Techniken und Exploits, um die Ryuk-Infektion unbemerkt in einem Netzwerk zu verbreiten. Manchmal ist dies ein manueller Prozess – die Gruppe kann unter anderem böswillige Skripte in PowerShell (ein Dienstprogramm im Windows-Betriebssystem) aus der Ferne ausführen oder das Remote Desktop Protocol (RDP) ausnutzen.
Sobald Ryuk ausgeführt wird, verschlüsselt sie Dateien und Daten auf allen infizierten Computern, Netzlaufwerken und Netzwerkressourcen.
Laut dem Sicherheitsunternehmen CrowdStrike verwendet Ryuk die Algorithmen RSA-2048 und AES-256 zur Verschlüsselung von Dateien. RSA ist ein Verschlüsselungsalgorithmus mit öffentlichem Schlüssel, d. h. er generiert ein Schlüsselpaar für die Verschlüsselung von Dateien und Daten: einen öffentlichen Schlüssel und einen privaten Schlüssel. Wizard Spider ist im Besitz des privaten Schlüssels, sodass das Opfer die Dateien nicht selbst entschlüsseln kann.
Anders als die meisten Ransomware-Programme versucht Ryuk aktiv, Systemdateien zu verschlüsseln. Wie CrowdStrike beobachtet hat, hat sie versucht, Boot-Dateien zu verschlüsseln, die das Host-System instabil machen oder zum Absturz bringen würden, wenn es neu gebootet würde.
Normalerweise erscheint die Lösegeldforderung auf einem infizierten System als Textdatei (.txt). Ryuk erzeugt diese Datei, wenn sie ausgeführt wird. In der Lösegeldforderung werden die Opfer angewiesen, die Angreifer zu kontaktieren und das Lösegeld zu bezahlen.
Wizard Spider verlangt in der Regel eine Zahlung in Bitcoin und fordert oft Lösegeld in Höhe von 100.000 Dollar oder mehr. Eine US-Stadt zahlte nach einem Ryuk-Angriff 460.000 Dollar Lösegeld.
Im Jahr 2021 schätzten Experten, dass Wizard Spider mehr als 150 Millionen Dollar an Lösegeldzahlungen eingenommen hatte.
Im Jahr 2018 verbreitete sich Ryuk über eine infizierte Software von Tribune Publishing auf mehrere Zeitungen in den USA. Die Angriffe unterbrachen den Zeitungsdruck für mehrere Tage.
Im Jahr 2020 wurde die IT-Infrastruktur der Universal Health Services (UHS) durch die Ransomware Ryuk lahmgelegt. Auf das Telefonsystem der Organisation und die Gesundheitsdaten der Patienten konnte nicht zugegriffen werden. Es dauerte etwa drei Wochen, bis UHS seine Systeme wiederherstellen konnte, und man schätzte die Verluste als Folge des Angriffs auf 67 Millionen Dollar.
Neben den UHS-Krankenhäusern wurden im Jahr 2020 auch mehrere andere amerikanische Krankenhäuser Opfer von Ryuk-Ransomware-Angriffen. Die Angriffe verschlüsselten wichtige Daten, unterbrachen Behandlungen und verzögerten Verfahren für viele Patienten.
Hermes ist ein anderer, aber verwandter Stamm von Ransomware und kam erstmals im Jahr 2017 zum Einsatz. Hermes ist in der Ransomware-Unterwelt weit verbreitet. Im Laufe der Jahre haben viele Angreifer Hermes verwendet und es wird nicht mit einer bestimmten Gruppe in Verbindung gebracht.
Die Ransomware Ryuk basierte weitgehend auf Hermes. Zunächst teilte Ryuk viel Code mit Hermes, aber im Laufe der Zeit hat Wizard Spider Ryuk weiter verändert.
Selbst mit diesen Methoden gibt es keine Garantie gegen einen Ryuk Ransomware-Angriff, so wie man keine Bedrohung zu 100 % verhindern kann. Allerdings können diese Schritte die Wahrscheinlichkeit einer Infektion erheblich verringern.
Wenn Sie Hilfe bei der Implementierung eines Zero Trust-Sicherheitsmodells benötigen, wenden Sie sich an Cloudflare One. Cloudflare One ist eine SASE-Plattform (Secure Access Service Edge) mit weitreichender Netzwerkkonnektivität und integrierter Zero Trust-Sicherheit.