Cyberangriffe werden immer raffinierter und gefährlicher und haben schwerwiegende Folgen für Unternehmen und Regierungen. Eine der am weitesten verbreiteten und gefürchteten Angriffsformen ist Ransomware, eine Schadsoftware, die die Dateien eines Nutzers oder einer Organisation sperrt und ein Lösegeld für die Entsperrung verlangt.
Unter den verschiedenen Arten von Ransomware hat Ryuk bis Ende 2020 für viel Aufsehen gesorgt.
Im Folgenden werden wir die Merkmale dieser besonders gefürchteten Ransomware, die mittlerweile nur noch schwach aktiv zu sein scheint, auseinandernehmen und einige Hinweise geben, wie Sie reagieren können.
Geschichte und Ursprünge der Ryuk-Ransomware
Die Ryuk-Ransomware wurde erstmals im August 2018 entdeckt und machte aufgrund ihrer Fähigkeit, große Organisationen in verschiedenen Wirtschaftszweigen zu infizieren, schnell von sich reden. Ryuk wurde der russischen Hackergruppe WIZARD SPIDER zugeschrieben.
Als Variante der früheren Ransomware Hermes steht Ryuk an der Spitze der Liste der gefährlichsten Ransomware-Angriffe. Im globalen Bedrohungsbericht CrowdStrike 2020 stellt Ryuk drei der zehn größten Lösegeldforderungen des Jahres: 5,3 Mio. USD, 9,9 Mio. USD und 12,5 Mio. USD. Ryuk hat es geschafft, Industrien und Unternehmen auf der ganzen Welt anzugreifen. Hacker bezeichnen die Praxis, große Unternehmen ins Visier zu nehmen, als „big game hunting“ (BGH).
Interessanterweise trägt diese Ransomware-Familie einen japanischen Namen, der aus dem Anime Death Note stammt. Der Name bedeutet „Geschenk Gottes“ – eine seltsame Wahl für Ransomware, wenn man bedenkt, dass die Ziele Daten oder Geld verlieren. Aus der Sicht des Hackers kann er jedoch als Geschenk Gottes betrachtet werden.
Ryuk, WannaCry, NotPetya: Die bemerkenswerten Pioniere des Aufstiegs der Ransomware.
Obwohl Ryuk nicht die erste Ransomware war, die Verheerungen anrichtete, unterschied sie sich von anderen Ransomware-Programmen wie WannaCry und NotPetya.
Denn anstatt auf Privatpersonen und kleine Unternehmen abzuzielen, ist (war?) der Ryuk darauf ausgelegt, Organisationen mit großen finanziellen Ressourcen und einer lebenswichtigen IT-Infrastruktur anzugreifen.
Die Hacker scheinen ihre Ziele auch sorgfältig auszuwählen, was die Verbreitung der Ransomware abschwächen und gleichzeitig die Auswirkungen auf die ausgewählten Opfer maximieren kann.
Wie funktioniert Ryuk?
Die Implantation dieser Lösegeldsoftware erfolgt nicht sofort; sie beginnt mit der vorherigen Installation anderer Malware auf einem Computersystem. Diese Aktion folgt in der Regel auf eine Phishing-Attacke, die die Primärinfektion leichter macht.
Ryuk wird als eines der berüchtigtsten Beispiele für Ransomware as a Service (RaaS) anerkannt, was das Ausmaß der Infektion angeht. Das Konzept von RaaS ist ein Modell, bei dem die Entwickler von Ransomware diese für andere Cyberkriminelle zugänglich machen. Im Gegenzug erhält der Entwickler einen Anteil an den gezahlten Lösegeldern. Dieser Ansatz ist eine Variante des Modells „Software as a Service“ (SaaS).
Die Folgen von Ryuk-Angriffen
Das Hauptziel von Ryuk bleibt einfach: möglichst viel Geld zu erpressen. Die Opfer werden in der Regel mit einer Lösegeldforderung konfrontiert, um ihre verschlüsselten Daten wiederherzustellen und ihre Systeme zu entsperren.
Der geforderte Betrag variiert, kann aber leicht Rekordsummen erreichen….
Ryuk kompromittierte bis Ende 2020 Regierungen, Universitäten, Gesundheitseinrichtungen, Fertigungsunternehmen und Technologieorganisationen, bevor es sehr still um ihn wurde und er sich vielleicht als Conti-Ransomware neu erfunden hat? Immerhin: 2019 verzeichnete Ryuk mit 12,5 Millionen USD die höchste Lösegeldforderung und wird bis Ende 2020 wahrscheinlich insgesamt 150 Millionen USD eingenommen haben.
Unabhängig vom Ransomware-Stamm führt die Zahlung des Lösegelds für Unternehmen oft zu einem moralischen Dilemma, insbesondere wenn es um große Summen geht, wie es bei Ransomware wie Ruyk der Fall ist.
Auf der einen Seite wollen diese Strukturen durch die Zahlung nicht die Finanzierung krimineller Organisationen fördern. Auf der anderen Seite müssen sie die Kosten und Verluste berücksichtigen, die durch unzugängliche Computersysteme und lahmgelegte Betriebsabläufe entstehen.
Neben finanziellen Verlusten können die Opfer einer solchen Ransomware auch Reputationsschäden, Vertrauensverlust bei Kunden und Partnern und möglicherweise rechtliche Komplikationen aufgrund von Datenverletzungen erleiden.
Wenn Sie mit einer solchen Situation konfrontiert sind, empfehlen wir Ihnen, sich umgehend mit uns in Verbindung zu setzen. Sie können auch unseren Leitfaden zu den ersten Schritten, die Sie im Falle eines Vorfalls in Erwägung ziehen sollten, lesen.
