Categories: SicherheitVirus

Ryuk: Neue Ransomware-Kampagne nimmt Unternehmen ins Visier

Der Sicherheitsanbieter Check Point hat eine neue Ransomware-Kampagne aufgedeckt. Sie richtet sich gegen Großunternehmen weltweit und soll den Hintermännern in nur zwei Wochen bereits mehr als 640.000 Dollar in Bitcoins eingebracht haben. Die Ryuk genannte Kampagne scheint in Verbindung zur von Nordkorea aus agierenden Hackergruppe Lazarus zu stehen.

„Von der Angriffsphase bis zum Verschlüsselungsprozess und der eigentlichen Lösegeldforderung ist die sorgfältig umgesetzte Ryuk-Kampagne auf Unternehmen ausgerichtet, die in der Lage sind, viel Geld zu bezahlen, um wieder auf Kurs zu kommen“, teilte Check Point mit.

Die erste Ryuk-Infektion fanden die Sicherheitsforscher Mitte August. In nur wenigen Tagen soll sie sich auf zahlreiche Unternehmen in den USA ausgeweitet und PCs, Storage und Rechenzentren verschlüsselt haben. Ein Opfer soll 50 Bitcoin Lösegeld gezahlt haben, was rund 320.000 Dollar entspricht.

Die Angriffe seien sehr zielgerichtet. Die Hacker erfassten Netzwerke ihrer Opfer und spähten Anmeldedaten aus, um die Ryuk-Malware in Systeme einzuschleusen. Ähnliche Techniken seien auch bei der Erpressersoftware SamSam zum Einsatz gekommen, die ihren Autoren mehr als 6 Millionen Dollar eingebracht habe. Zwischen beiden Kampagnen gebe es aber keine direkte Verbindung.

In ihren Lösegeldforderungen weisen die Erpresser entweder auf eine Sicherheitslücke hin, die „Gott sei Dank“ nicht von irgendwelchen dummen Schuljungen oder gefährlichen Punks, sondern von ernstzunehmenden Leuten ausgenutzt worden seien, oder sie informieren ohne Umweg über die Verschlüsselung von Dateien und das zu zahlende Lösegeld. Die Forderungen lagen bisher überwiegend zwischen 15 und 35 Bitcoin. Zahlungen werden auf mehrere Bitcoin-Wallets aufgeteilt, um den Geldfluss zu verwischen.

Die Verbindung zur Lazarus-Gruppe ergibt sich laut CheckPoint aus dem Code von Ryuk. Er stimme fast genau mit dem Code der Ransomware Hermes überein, die wiederum den Lazarus-Hackern zugeordnet werde. Die Forscher gehen nun davon aus, dass Lazarus entweder den Code von Hermes für Ryuk wiederverwendet hat oder das bisher unbekannte Dritte Zugang zum Quellcode von Hermes erlangt haben, um daraus eine eigene Erpressersoftware zu entwickeln.

Wer immer auch die Hintermänner sind, sie müssen Check Point zufolge über nicht unerhebliche Ressourcen verfügen, um derartig zielgerichtete Angriffe ausführen zu können. Der Aufwand habe sich anhand der bereits bezahlten Lösegelder wahrscheinlich gelohnt. „Nachdem es ihnen gelungen ist, etwa 640.000 Dollar zu bekommen, glauben wir, dass dies nicht das Ende dieser Kampagne ist und dass weitere Organisationen wahrscheinlich Opfer von Ryuk werden“, ergänzten die Forscher.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

8 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

9 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

9 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

10 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

12 Stunden ago