26. August 2021

Trojaner Ryuk verbreitet sich rasant

Eine neue Variante des Erpressungstrojaners Ryuk-Ransomware, der zur sogenannten Ransomeware-as-a-Service (RaaS)-Gruppe gehört, verbreitet sich aktuell rasant und selbstständig in den Netzwerken. Laut MITRE ATT&CK steckt hinter Ryuk möglicherweise eine wirtschaftlich motivierte und kriminelle Hackergruppe namens Wizard Spider. Hierbei handelt es sich um einen osteuropäischen Bedrohungsakteur, der insbesondere für einige Angriffe im Gesundheitswesen verantwortlich ist. Der Erpressungstrojaner stellt eine sehr ernstzunehmende Gefahr dar. Daher möchten wir Ihnen im folgenden Beitrag gerne Hintergrundinformationen dazu geben.

Cyberkriminelle haben Ryuk mit wurmähnlichen Fähigkeiten erweitert, wie es bereits in der Vergangenheit im Kontext des Trojaners „Emotet“ geschehen ist. Mit dieser Eigenschaft ausgestattet, erlangt Ryuk die Fähigkeit, sich auf andere Systeme im lokalen Netzwerk des Opfers auszubreiten.

Wir haben aktuell einen ähnlichen Fall bei einem unserer Kunden untersucht, ihn jedoch glücklicherweise rechtzeitig informieren und damit die Verbreitung im Kunden-Netzwerk verhindert können. Anlass zur Untersuchung gaben uns die in der CSOC-Leitstelle detektierten Meldungen „Local Scheduled Task Commands“ und „RPC (Remote Procedure Call) to the Internet“.

Die Untersuchung der Meldungen im SIEM ergab folgendes: Es wurde der Versuch unternommen, über die Hilfsfunktion von Windows „schtasks.exe“ eine Verbindung zu verschleiern und die Malware durch die Verwendung von geplanten Tasks in Windows innerhalb einer Windows-Domäne zu verbreiten. Besonders kritisch dabei ist, dass sich die Schadsoftware unmittelbar nach Ausführung von Ryuk auf jedes erreichbare Gerät ausbreitet, auf das Window RPC-Zugriffe (Rem ote Procedure Call) möglich sind. Für die Verbreitung über das lokale Netzwerk listet Ryuk alle IP-Adressen im lokalen ARP-Cache (Adress Resolution Protocol) auf und sendet ein LAN-Paket (Wake-on-LAN) an die detektierten Geräte. Im nächsten Schritt werden die identifizierten Freigabe-Ressourcen für die Systeme gestartet und der Verschlüsselungsprozess der Inhalte in die Wege geleitet. Anschließend folgt die Lösegeldforderung zur Entschlüsselung der Daten.

Unsere Handlungsempfehlungen:

Stellen Sie sicher, dass Betriebssystem-, Software- und Firmware-Patches installiert sind.
Verwenden Sie eine mehrstufige Authentifizierung mit einem starken zweiten Faktor.
Konten, Zugriffe, Protokolle und andere Komponenten sollten regelmäßig auditiert werden, um die Einstellungen und Aktivitäten zu überprüfen.
Führen Sie regelmäßig Datensicherungen durch, insbesondere von kritischen Systemen und speichern Sie diese offline.

Sind Sie bereits von Ryuk betroffen, empfehlen wir folgende Maßnahmen:

Sensibilisieren Sie Ihre Mitarbeiter im Umgang mit Phishing-E-Mails, indem Sie ihnen Awareness-Schulungen anbieten.
Es sollten die Kennwörter der betroffenen Benutzer geändert oder die Benutzerkonten deaktiviert werden, um die Ausbreitung unmittelbar einzudämmen.
Führen Sie eine doppelte KRBTGT-Domänenpasswortänderung durch.