Reden wir über die Ryuk-Ransomware
Ryuk ist der Name einer Ransomware-Familie, die erstmals im August 2018 in freier Wildbahn entdeckt wurde. Früher kannten wir Ryuk nur als fiktive Figur in einer beliebten japanischen Comic- und Zeichentrickserie, aber jetzt wissen wir, dass es sich um eine der bösartigsten Ransomware-Familien handelt, die jemals Systeme weltweit heimgesucht hat.
Was ist Ryuk Ransomware?
Beginnen wir mit der Definition von Ransomware im Allgemeinen. Ransomware ist eine Kategorie von Malware, die Ihre Dateien oder Systeme sperrt und sie als Geiseln für Lösegeld hält. Ryuk ist eine Art von Ransomware, die bei gezielten Angriffen eingesetzt wird, bei denen die Bedrohungsakteure dafür sorgen, dass wichtige Dateien verschlüsselt werden, damit sie hohe Lösegeldsummen fordern können. Eine typische Ryuk-Lösegeldforderung kann sich auf einige hunderttausend Dollar belaufen. Malwarebytes erkennt sie als Ransom.Ryuk. Einen detaillierteren technischen Überblick über diese Bedrohung finden Sie in unserem Spotlight zur Ryuk-Ransomware-Bedrohung.
Wie funktioniert Ryuk?
Ryuk ist eine der ersten Ransomware-Familien, die in der Lage ist, Netzlaufwerke und Ressourcen zu identifizieren und zu verschlüsseln sowie Schattenkopien auf dem Endpunkt zu löschen. Dies bedeutet, dass die Angreifer dann die Windows Systemwiederherstellung für Benutzer deaktivieren können, wodurch es unmöglich wird, sich ohne externe Backups oder Rollback-Technologie von einem Angriff zu erholen.
Wer hat Ryuk erschaffen?
Die Zuordnung von Malware ist immer schwierig. Die Forscher von Deloitte Argentinien, Gabriela Nicolao und Luciano Martins, schreiben die Ransomware Ryuk jedoch CryptoTech zu, einer wenig bekannten cyberkriminellen Gruppe, die im August 2017 in einem Untergrundforum für Hermes 2.1 warb. Hermes 2.1 ist den Forschern zufolge ein anderer Name für Ryuk Ransomware.
Ryuk Ransomware Nachrichten
- 2021:
- Stadt Lüttich von Ransomware betroffen, Ryuk vermutet
- Ryuk-Ransomware entwickelt wurmähnliche Fähigkeiten
- 2020:
- VideoBytes: Ryuk Ransomware zielt auf US-Krankenhäuser
- Tampa Bay Times von Ransomware-Angriff durch Ryuk betroffen
- 2019:
Wer sind Ryuks Ziele?
Die Ziele von Ryuk sind in der Regel hochrangige Organisationen, bei denen die Angreifer wissen, dass sie wahrscheinlich ihre hohen Lösegeldforderungen erfüllen werden. Zu den Opfern gehören EMCOR, UHS-Krankenhäuser und mehrere Zeitungen. Durch die Angriffe auf diese Organisationen hat Ryuk zwischen Februar 2018 und Oktober 2019 schätzungsweise 61 Millionen US-Dollar für seine Betreiber erwirtschaftet.
Wie wird Ryuk ausgeliefert?
Wie bei vielen Malware-Angriffen werden auch hier Spam-E-Mails(Malspam) versendet. Diese E-Mails werden häufig von einer gefälschten Adresse versendet, damit der Absendername keinen Verdacht erregt.
Ein typischer Ryuk-Angriff beginnt, wenn ein Benutzer ein mit Waffen versehenes Microsoft Office-Dokument öffnet, das an eine Phishing-E-Mail angehängt ist. Das Öffnen des Dokuments führt ein bösartiges Makro aus, das einen PowerShell-Befehl ausführt, der versucht, den Banking-Trojaner Emotet herunterladen zu installieren. Dieser Trojaner ist in der Lage, herunterladen zusätzliche Malware auf einem infizierten Computer zu installieren, die Trickbot abruft und ausführt, dessen Hauptnutzlast Spyware ist. Diese sammelt Admin-Anmeldeinformationen und ermöglicht es den Angreifern, seitlich auf kritische, mit dem Netzwerk verbundene Anlagen zuzugreifen. Die Angriffskette wird abgeschlossen, wenn die Angreifer Ryuk auf jeder dieser Anlagen ausführen.
Sobald Ihr Netzwerk angegriffen wurde, entscheiden die Angreifer, ob es sich für sie lohnt, das Netzwerk weiter zu erforschen und zu infiltrieren. Wenn sie genug Druckmittel haben, um eine hohe Summe zu fordern, setzen sie die Ryuk-Ransomware ein.
Wie kann ich mich vor Ryuk schützen?
Der erste Schritt zum Schutz vor einem Ransomware-Angriff ist die Investition in einen Anti-Malware-/Antiviren-Schutz, vorzugsweise einen, der Echtzeitschutz bietet, um advanced Malware-Angriffe wie Ransomware zu vereiteln. Außerdem sollten Sie nach Funktionen Ausschau halten, die sowohl anfällige Programme vor Bedrohungen schützen (eine Anti-Exploit-Technologie ) als auch Ransomware daran hindern, Dateien als Geiseln zu nehmen (eine Anti-Ransomware-Komponente ). Einige Anti-Malware-Lösungen bieten eine Rollback-Technologie, die speziell für die Bekämpfung der Auswirkungen von Ransomware entwickelt wurde.
Als Nächstes müssen Sie, so sehr es Sie auch schmerzen mag, regelmäßig sichere Backups Ihrer Daten erstellen. Wir empfehlen die Verwendung eines Cloud-Speichers mit hochgradiger Verschlüsselung und Multi-Faktor-Authentifizierung. Eine weitere Möglichkeit ist der Kauf von USB-Sticks oder einer externen Festplatte, auf der Sie neue oder aktualisierte Dateien speichern können. Achten Sie jedoch darauf, die Geräte nach der Sicherung physisch vom Computer zu trennen, da sie sonst ebenfalls mit Ransomware infiziert werden könnten.
Stellen Sie außerdem sicher, dass Ihre Systeme und Software regelmäßig aktualisiert werden. Der WannaCry-Ransomware-Ausbruch nutzte eine Schwachstelle in der Microsoft-Software aus, und obwohl das Unternehmen bereits im März 2017 einen Patch für die Sicherheitslücke veröffentlicht hatte, installierten viele Leute das Update nicht - und waren somit anfällig für Angriffe. Wir wissen, dass es schwierig ist, den Überblick über eine ständig wachsende Liste von Updates für eine ständig wachsende Liste von Software und Anwendungen zu behalten, die Sie im Alltag verwenden. Deshalb empfehlen wir Ihnen, Ihre Einstellungen so zu ändern, dass automatische Aktualisierungen aktiviert werden.
Und schließlich: Bleiben Sie informiert. Eine der häufigsten Arten, wie Computer mit Ransomware infiziert werden, ist Social Engineering. Informieren Sie sich (und Ihre Mitarbeiter, wenn Sie Unternehmer sind), wie Sie Phishing-E-Mails, verdächtige Websites und andere Betrügereien erkennen können. Und vor allem sollten Sie Ihren gesunden Menschenverstand walten lassen. Wenn es verdächtig erscheint, ist es das wahrscheinlich auch.
Wie kann ich Ryuk entfernen?
Sie können die Malwarebytes Anti-Malware Nebula-Konsole verwenden, um Ihre Endpunkte zu scannen. Wählen Sie die Option Scan + Quarantäne. Anschließend können Sie auf der Seite Erkennungen nachsehen, welche Bedrohungen gefunden wurden. Auf der Seite Quarantäne können Sie sehen, welche Bedrohungen unter Quarantäne gestellt wurden, und sie bei Bedarf wiederherstellen. Schauen Sie sich die Erkennungsseite genau an, um zu sehen, ob Sie eine Antwort darauf finden können, wie Ryuk ausgeliefert wurde. Sie wollen keine Hintertüren hinterlassen, die die Angreifer erneut nutzen können!
Wenn Sie vermuten, dass die Lieferung von Ryuk von Emotet durchgeführt wurde, müssen Sie einige zusätzliche Schritte durchführen. Wenn Ihr Computer mit einem Netzwerk verbunden ist, isolieren Sie ihn sofort. Sobald er isoliert ist, müssen Sie das infizierte System patchen und reinigen. Aber das ist noch nicht alles. Aufgrund der Art und Weise, wie sich Emotet über Ihr Netzwerk verbreitet, kann ein bereinigter Computer erneut infiziert werden, wenn er wieder an ein infiziertes Netzwerk angeschlossen wird. Säubern Sie jeden Computer in Ihrem Netzwerk nacheinander. Das ist ein mühsamer Prozess, aber die Unternehmenslösungen vonMalwarebytes können ihn erleichtern, indem sie infizierte Endpunkte isolieren und bereinigen und proaktiven Schutz vor zukünftigen Emotet-Infektionen bieten.