Categories: SicherheitVirus

Ryuk: Neue Ransomware-Kampagne nimmt Unternehmen ins Visier

Der Sicherheitsanbieter Check Point hat eine neue Ransomware-Kampagne aufgedeckt. Sie richtet sich gegen Großunternehmen weltweit und soll den Hintermännern in nur zwei Wochen bereits mehr als 640.000 Dollar in Bitcoins eingebracht haben. Die Ryuk genannte Kampagne scheint in Verbindung zur von Nordkorea aus agierenden Hackergruppe Lazarus zu stehen.

“Von der Angriffsphase bis zum Verschlüsselungsprozess und der eigentlichen Lösegeldforderung ist die sorgfältig umgesetzte Ryuk-Kampagne auf Unternehmen ausgerichtet, die in der Lage sind, viel Geld zu bezahlen, um wieder auf Kurs zu kommen”, teilte Check Point mit.

Die erste Ryuk-Infektion fanden die Sicherheitsforscher Mitte August. In nur wenigen Tagen soll sie sich auf zahlreiche Unternehmen in den USA ausgeweitet und PCs, Storage und Rechenzentren verschlüsselt haben. Ein Opfer soll 50 Bitcoin Lösegeld gezahlt haben, was rund 320.000 Dollar entspricht.

Die Angriffe seien sehr zielgerichtet. Die Hacker erfassten Netzwerke ihrer Opfer und spähten Anmeldedaten aus, um die Ryuk-Malware in Systeme einzuschleusen. Ähnliche Techniken seien auch bei der Erpressersoftware SamSam zum Einsatz gekommen, die ihren Autoren mehr als 6 Millionen Dollar eingebracht habe. Zwischen beiden Kampagnen gebe es aber keine direkte Verbindung.

In ihren Lösegeldforderungen weisen die Erpresser entweder auf eine Sicherheitslücke hin, die “Gott sei Dank” nicht von irgendwelchen dummen Schuljungen oder gefährlichen Punks, sondern von ernstzunehmenden Leuten ausgenutzt worden seien, oder sie informieren ohne Umweg über die Verschlüsselung von Dateien und das zu zahlende Lösegeld. Die Forderungen lagen bisher überwiegend zwischen 15 und 35 Bitcoin. Zahlungen werden auf mehrere Bitcoin-Wallets aufgeteilt, um den Geldfluss zu verwischen.

Die Verbindung zur Lazarus-Gruppe ergibt sich laut CheckPoint aus dem Code von Ryuk. Er stimme fast genau mit dem Code der Ransomware Hermes überein, die wiederum den Lazarus-Hackern zugeordnet werde. Die Forscher gehen nun davon aus, dass Lazarus entweder den Code von Hermes für Ryuk wiederverwendet hat oder das bisher unbekannte Dritte Zugang zum Quellcode von Hermes erlangt haben, um daraus eine eigene Erpressersoftware zu entwickeln.

Wer immer auch die Hintermänner sind, sie müssen Check Point zufolge über nicht unerhebliche Ressourcen verfügen, um derartig zielgerichtete Angriffe ausführen zu können. Der Aufwand habe sich anhand der bereits bezahlten Lösegelder wahrscheinlich gelohnt. “Nachdem es ihnen gelungen ist, etwa 640.000 Dollar zu bekommen, glauben wir, dass dies nicht das Ende dieser Kampagne ist und dass weitere Organisationen wahrscheinlich Opfer von Ryuk werden”, ergänzten die Forscher.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet seit 2001 vorrangig für ZDNet.de über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Seit 2012 beschäftigt sie sich auch für silicon.de immer wieder mit Business-Hardware, Digitalisierung und Markttrends.

Recent Posts

Samsung startet Massenfertigung von 3-Nanometer-Chips

Sie bieten bis zu 23 Prozent mehr Leistung als 5-Nanometer-Chips. Der Energiebedarf soll durch die…

11 Minuten ago

PC-Auslieferungen gehen 2022 weltweit in um 9,5 Prozent zurück

Gartner erwartet laut der jüngsten Prognose, dass der PC-Markt in diesem Jahr damit den stärksten…

26 Minuten ago

Hybrides Arbeiten – Die größten Fehler bei der Rückkehr ins Büro

Unternehmen riskieren, Mitarbeiter wegen schlechter Anwendererfahrungen zu verlieren, warnt Gastautor Roman Pelzel von ISG.

1 Stunde ago

Bumblebee: Cybererpresser setzen auf neue Malware zur Verbreitung von Ransomware

Symantec bringt den Loader Bumblebee in Verbindung mit den Ransomware-Gruppen Conti, Mountlocker und Quantum. Die…

3 Stunden ago

Markt für Microsoft-Partner flaut ab

ISG-Studie: Wettbewerb verschärft sich unter anderem, da Microsoft große und strategisch wichtige Kunden zunehmend direkt…

19 Stunden ago

ZuoRAT: Neue mehrstufige Malware greift SOHO-Router in Europa an

Die Malware ist bereits seit 2020 im Umlauf. Die Hintermänner setzten ZuoRAT nur für zielgerichtete…

23 Stunden ago