Ryuk: Neue Ransomware-Kampagne nimmt Unternehmen ins Visier

Der Sicherheitsanbieter Check Point hat eine neue Ransomware-Kampagne aufgedeckt. Sie richtet sich gegen Großunternehmen weltweit und soll den Hintermännern in nur zwei Wochen bereits mehr als 640.000 Dollar in Bitcoins eingebracht haben. Die Ryuk genannte Kampagne scheint in Verbindung zur von Nordkorea aus agierenden Hackergruppe Lazarus zu stehen.

„Von der Angriffsphase bis zum Verschlüsselungsprozess und der eigentlichen Lösegeldforderung ist die sorgfältig umgesetzte Ryuk-Kampagne auf Unternehmen ausgerichtet, die in der Lage sind, viel Geld zu bezahlen, um wieder auf Kurs zu kommen“, teilte Check Point mit.

Die erste Ryuk-Infektion fanden die Sicherheitsforscher Mitte August. In nur wenigen Tagen soll sie sich auf zahlreiche Unternehmen in den USA ausgeweitet und PCs, Storage und Rechenzentren verschlüsselt haben. Ein Opfer soll 50 Bitcoin Lösegeld gezahlt haben, was rund 320.000 Dollar entspricht.

Die Angriffe seien sehr zielgerichtet. Die Hacker erfassten Netzwerke ihrer Opfer und spähten Anmeldedaten aus, um die Ryuk-Malware in Systeme einzuschleusen. Ähnliche Techniken seien auch bei der Erpressersoftware SamSam zum Einsatz gekommen, die ihren Autoren mehr als 6 Millionen Dollar eingebracht habe. Zwischen beiden Kampagnen gebe es aber keine direkte Verbindung.

In ihren Lösegeldforderungen weisen die Erpresser entweder auf eine Sicherheitslücke hin, die „Gott sei Dank“ nicht von irgendwelchen dummen Schuljungen oder gefährlichen Punks, sondern von ernstzunehmenden Leuten ausgenutzt worden seien, oder sie informieren ohne Umweg über die Verschlüsselung von Dateien und das zu zahlende Lösegeld. Die Forderungen lagen bisher überwiegend zwischen 15 und 35 Bitcoin. Zahlungen werden auf mehrere Bitcoin-Wallets aufgeteilt, um den Geldfluss zu verwischen.

Die Verbindung zur Lazarus-Gruppe ergibt sich laut CheckPoint aus dem Code von Ryuk. Er stimme fast genau mit dem Code der Ransomware Hermes überein, die wiederum den Lazarus-Hackern zugeordnet werde. Die Forscher gehen nun davon aus, dass Lazarus entweder den Code von Hermes für Ryuk wiederverwendet hat oder das bisher unbekannte Dritte Zugang zum Quellcode von Hermes erlangt haben, um daraus eine eigene Erpressersoftware zu entwickeln.

Wer immer auch die Hintermänner sind, sie müssen Check Point zufolge über nicht unerhebliche Ressourcen verfügen, um derartig zielgerichtete Angriffe ausführen zu können. Der Aufwand habe sich anhand der bereits bezahlten Lösegelder wahrscheinlich gelohnt. „Nachdem es ihnen gelungen ist, etwa 640.000 Dollar zu bekommen, glauben wir, dass dies nicht das Ende dieser Kampagne ist und dass weitere Organisationen wahrscheinlich Opfer von Ryuk werden“, ergänzten die Forscher.