Business Security, Verschlüsselung & Datensicherheit

Ransomware Ryuk erbeutet Millionen

Ransomware Ryuk erbeutet Millionen
Ryuk und Trickbot arbeiten gezielt an Attacken auf ertragreiche Opfer.

Es ist immer noch gut im Rennen, das Geschäft mit Erpressersoftware. Das zeigt sich aktuell mit der Ransomware Ryuk, deren schädliches Treiben nun von Sicherheitsexperten entlarvt wurde. Der Erpressungstrojaner Ryuk hat dabei gezielt größere Firmen im Visier.

Millionen Dollar erbeutet

Es waren die Sicherheitsfirmen Crowdstrike, Checkpoint und Fireeye, die den Fall der Schadsoftware „Ryuk“ offen gelegt haben, wie derstandard.at dazu berichtete. Den Hintermännern war es gelungen in fünf Monaten rund vier Millionen Dollar zu erbeuten. Wie Ars Technica dazu berichtete bedienten sie sich dabei einer eigenen Taktik bei der Zielauswahl.

Gemeinschaftswerk von Trojaner und Ransomware

Wie es weiter dazu heißt, ist die „Vorstufe“von Ryuk ein Trojaner namens „Trickbot“. Gelangt dieser auf ein System, so beginnt er damit, sich Rechte zu verschaffen und Module nachzuladen, ohne aber Nutzerdateien zu verschlüsseln. Eines seiner Werkzeuge wurde "Grim Spider" getauft. Es dient dazu, eine umfassende Netzwerkanalyse auszuführen, um zu erkennen, ob der Rechner Teil einer größeren Firma oder Organisation ist. Gleichzeitig wird auch versucht, relevante Passwörter zu ermitteln und Nutzerkonten anzulegen. Immer wieder kommuniziert der Schädling dabei Informationen an eine fremde IP-Adresse.

Der Trickbot-Schädling verfügt dabei über viel Zeit und wartet geduldig, bis zu einem Jahr, ehe im nächsten Schritt möglichst viele Rechner im erkannten Netzwerk gekapert und Dateien verschlüsselt werden. Immer vorausgesetzt, dass das Ziel lohnenswert ist. Die These der Ryuk-Macher dürfte sein, dass ein solcher Angriff auf größere Unternehmen und Organisationen lukrativer ist. Private Computer und Unternehmen mit kleinen Netzwerken bleiben hingegen von dieser zweiten Stufe verschont. Ein Vorbild für diese Taktik dürfte die 2015 entdeckte Ransomware "Samsam" sein, die ähnlich gestrickt war.

Wer sind die Täter?

Mit der Erpressung von Bitcoins gelang es den Tätern, seit August des vergangenen Jahres Kryptogeld im Gegenwert von rund 3,7 Millionen Dollar zu erbeuten. Wie viel davon in übliches Geld umgesetzt werden konnte, ist unklar.

Von wo aus die Täter operieren ist bisher ungeklärt. Berichten, wonach Ryuk von nordkoreanischen Hackern in Umlauf gebracht wurde, messen Crowdstrike und Fireeye wenig Bedeutung bei. Crowdstrike nimmt „mit mittlerer bis hoher Sicherheit“ an, dass die Angreifer in Russland zu finden sind.

Weiterführende Links

Schutz vor Ransomware

BSI warnt vor Emotet und Ryuk

Crowdstrike

Checkpoint

Fireeye

Ars Technica

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Business Security

Datenrettungs-Experte schlägt Alarm: Fehlende IT-Notfallpläne als offene Flanke im Kampf gegen Ransomware

Ransomware - Datenklau - Datenrettung
Foto: harshahars - pixabay.com

IT-Sicherheitsstrukturen deutscher und internationaler Unternehmen sind durch die rasanten Innovationen digitaler Technologien sowie politischen, ökonomischen und ökologischen Herausforderungen stark gefordert.

Verschlüsselung & Datensicherheit

Spyware auf EU-Abgeordneten-Handys

Bedrohungen, die speziell auf Android-, Chromebook- oder iOS-Mobilgeräte abzielen, nehmen laut Sicherheitsexperten nicht nur in der Anzahl zu, sondern auch in der Daten-Tiefe, die aus Geräten mittels unberechtigter Zugänge „ausgelesen“ wird.

Business Security

Schutz vor DDoS-Angriffen: Warum Prävention entscheidend ist

Foto: Canva

In der Ära der digitalen Transformation stehen Unternehmen und Behörden vor einer zunehmenden Abhängigkeit von digitalen Plattformen und Diensten, die eine effiziente Geschäftsabwicklung ermöglichen. Doch während die Digitalisierung unbestreitbare Vorteile bietet, öffnet sie auch Tür und Tor für eine Vielzahl von Cyberbedrohungen.

Verschlüsselung & Datensicherheit

Was bringt 2024? Ist die Zukunft sicher und passwort-frei?

Es ist ein offenes Geheimnis, dass Passwörter nach wie vor eines der Haupteinfallstore für Cyberangriffe sind, weil sich insbesondere schwache Passwörter durch Brute-Force-Angriffe, bei Password-Spraying-Kampagnen oder mittels Social Engineering kompromittieren lassen. Starke Passwörter erhöhen die Sicherheit, wenn sie lang und zufällig sind.

oben