Sun. Sep 25th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    pt flag
    ru flag
    es flag

    Anmerkung der Redaktion: Der jüngste Ransomware-Angriff auf Rechtsdienste und eDiscovery-Anbieter Epiq hat Cyber-Sicherheitserkennung in der professionellen Community für Datenermittlung und Rechtserkennung beschleunigt. Der bestätigte Ransomware-Angriff scheint mit einer TrickBot-Infektion eingeleitet worden zu sein, die die Bereitstellung von Ryuk Ransomware ermöglichte. Die folgenden Auszüge geben Informationen und Erkenntnisse aus, die für Anwaltskanzleien, Unternehmen und Dienstleister im eDiscovery-Ökosystem nützlich sein können, um mehr über Ransomware, die Ryuk Ransomware-Familie zu erfahren und das mit Ransomware-Angriffen verbundene Risiko zu reduzieren.

    Ein Auszug aus der US Government Interagency Publication on Ransomware

    Ransomware: Was es ist und was zu tun ist

    Was ist Ransomware?

    Ransomware ist eine Art bösartiger Software, die Cyber-Akteure verwenden, um den Zugriff auf Systeme oder Daten zu verweigern. Der böswillige Cyber-Akteur hält Systeme oder Daten als Geisel, bis das Lösegeld bezahlt wird. Nach der anfänglichen Infektion versucht die Ransomware, sich auf freigegebene Speicherlaufwerke und andere barrierefreie Systeme zu verteilen. Werden die Anforderungen nicht erfüllt, bleiben das System oder die verschlüsselten Daten nicht verfügbar oder Daten können gelöscht werden.

    Wie schütze ich meine Netzwerke?

    Ein Engagement für Cyber-Hygiene und Best Practices ist entscheidend für den Schutz Ihrer Netzwerke. Im Folgenden finden Sie einige Fragen, die Sie Ihrer Organisation stellen können, um Ransomware-Angriffe zu verhindern:

    Backups: Sichern wir alle wichtigen Informationen? Werden die Sicherungen offline gespeichert? Haben wir unsere Fähigkeit getestet, Backups während eines Vorfalls wiederherzustellen?

    Risikoanalyse: Haben wir eine Cybersicherheitsrisikoanalyse der Organisation durchgeführt?

    Mitarbeiterschulung: Haben wir Mitarbeiter über Best Practices für Cybersicherheit geschult?

    Schwachstellenpatching: Haben wir geeignete Patches bekannter Systemschwachstellen implementiert?

    Application Whitelisting: Lassen wir nur genehmigte Programme in unseren Netzwerken laufen?

    Incident Response: Haben wir einen Incident Response Plan und haben wir ihn ausgeübt?

    Business Continuity: Sind wir in der Lage, den Geschäftsbetrieb ohne Zugang zu bestimmten Systemen aufrechtzuerhalten? Wie lange? Haben wir das getestet?

    Penetrationstests: Haben wir versucht, sich in unsere eigenen Systeme zu hacken, um die Sicherheit unserer Systeme und unsere Fähigkeit, sich gegen Angriffe zu verteidigen, zu testen?

    Wie reagiere ich auf Ransomeware?

    Implementieren Sie Ihren Reaktions- und Business Continuity-Plan für Sicherheitsvorfälle. Es kann Zeit dauern, bis die IT-Experten Ihres Unternehmens die Ransomware-Bedrohung für Ihre Systeme isolieren und entfernen und Daten und normale Vorgänge wiederherstellen. In der Zwischenzeit sollten Sie Schritte unternehmen, um die wesentlichen Funktionen Ihres Unternehmens entsprechend Ihrem Business Continuity Plan aufrechtzuerhalten. Unternehmen sollten Sicherungspläne, Disaster Recovery-Pläne und Business Continuity-Verfahren verwalten und regelmäßig testen.

    Wenden Sie sich sofort an die Strafverfolgung. Wir empfehlen Ihnen, sich umgehend mit einem lokalen FBI oder USSS Außendienst in Verbindung zu setzen, um ein Ransomware-Ereignis zu melden und Hilfe anzufordern. Es gibt ernsthafte Risiken zu berücksichtigen, bevor das Lösegeld bezahlt wird. Wir ermutigen nicht, ein Lösegeld zu zahlen. Wir verstehen, dass Führungskräfte, wenn Unternehmen mit einer Unfähigkeit zu funktionieren konfrontiert sind, alle Optionen bewerten, um ihre Aktionäre, Mitarbeiter und Kunden zu schützen. Berücksichtigen Sie bei dieser Wahl die folgenden Risiken:

    Die Zahlung eines Lösegelds garantiert nicht, dass eine Organisation den Zugriff auf ihre Daten wiedererlangen kann. Tatsächlich wurden einige Einzelpersonen oder Organisationen nie mit Entschlüsselungsschlüsseln versorgt, nachdem sie ein Lösegeld bezahlt haben.

    Einige Opfer, die die Nachfrage bezahlt haben, haben berichtet, dass sie erneut von Cyberakteuren angegriffen werden.

    Nach Zahlung des ursprünglich geforderten Lösegeldes wurden einige Opfer gebeten, mehr zu zahlen, um den versprochenen Entschlüsselungsschlüssel zu erhalten.

    Das Bezahlen könnte dieses kriminelle Geschäftsmodell versehentlich fördern.

    Lesen Sie das vollständige Dokument auf Ransomware: Was es ist und was zu tun ist (PDF)

    Ein Auszug aus einem Artikel von Gabriela Nicolao und Luciano Martins

    Virus Bulletin 2019 Paper: Shinigamis Rache: Der lange Schwanz der Ryuk Malware

    Abstrakt

    Ryuk ist eine Ransomware-Familie, die im Gegensatz zu normalen Ransomware an gezielte Kampagnen gebunden ist, bei denen Erpressung Tage oder Wochen nach einer anfänglichen Infektion auftreten kann. Ryuk wurde erstmals im August 2018 beobachtet und bleibt ab Juli 2019 aktiv.

    Unter den Opfern finden wir Unternehmen aus verschiedenen Branchen, darunter Zeitungen, Restaurants, öffentliche Einrichtungen und einen Cloud-Service-Provider. Ryuk wurde als eine zweite Stufe Nutzlast in Kampagnen beobachtet, an denen Emotet und Trickbot beteiligt waren, zwei der am weitesten verbreiteten Bedrohungen, die derzeit in Malware-Kampagnen eingesetzt werden.

    Ryuk trägt eine starke Code-Ähnlichkeit mit der Hermes-Ransomware und wurde wahrscheinlich von desselben Bedrohungsakteurs entwickelt und möglicherweise vertrieben. Die Code-Ähnlichkeiten zwischen Ryuk und Hermes — einer Nutzlast, die angeblich mit nordkoreanischen Bedrohungsakteuren verbunden war — veranlassten Analysten zunächst den Verdacht, dass Ryuk der berüchtigten Gruppe Lazarus APT (Advance Persistent Threat) angeschlossen war. Diese Namensnennung wurde jedoch aufgrund von Beweisen verworfen, die aus einem dunklen Web-Forum gesammelt wurden und die Malware später russischsprachigen Akteuren, die möglicherweise als Grim Spider bekannt sind, zugeschrieben.

    Ryuk Chronologie

    Ryuk ist eine Krypto-Ransomware, die am 17. August 2018 erstmals in einem Tweet erwähnt wurde. Es verwendete 'Ryukreadme.txt' als Lösegeldschein, daher ist der Name.ryuk auch der Name einer fiktiven Figur, die als Shinigami (Gott des Todes) in einer Manga- und Anime-Serie namens Death Note bekannt ist.

    Zu der Zeit, als Ryuk erstmals berichtet wurde, hatte es bereits drei Unternehmen in verschiedenen Ländern getroffen, und Forscher wiesen darauf hin, dass Ryuk auf dem berüchtigten Quellcode der Hermes Ransomware basiert und dass es das gleiche Lösegeldschein-Format wie BitPaymer verwendet.

    Die Hermes Ransomware wurde von Lazarus verwendet, einer nordkoreanischen Bedrohungsaktorgruppe, die seit 2009 aktiv ist. Aufgrund der Zuordnung von Hermes an Lazarus glaubten Forscher, dass Ryuk auch mit Lazarus verwandt war.

    Lesen Sie das komplette Papier bei Shinigamis Revenge: The Long Tail of the Ryuk Malware

    Ein Auszug aus einem Artikel von Shyam Oza über Spanning

    Ryuk Ransomware

    Im Herbst 2018 wurde eine modifizierte Version von Hermes Ransomware entdeckt: Ryuk. Sowohl Hermes als auch Ryuk haben ähnliche Eigenschaften. Sie identifizieren und verschlüsseln Netzwerkgeräte und löschen Schattenkopien, die auf den Endpunkten gespeichert sind. Der einzige Unterschied besteht darin, wie sie die Verschlüsselungsschlüssel erstellen. Während Hermes ein RSA- und ein privates Schlüsselpaar verwendet, verwendet Ryuk einen zweiten öffentlichen RSA-Schlüssel.

    Ryuk Ransomware ist lukrativer als sein Vorgänger. Es richtet sich an große Organisationen und Regierungsbehörden, die am Ende große Beträge zahlen. Die Wahrheit ist, ohne die großen Auszahlungen ist die Verarbeitung von Ryuk-Angriffen nicht nachhaltig. Es beinhaltet ein hohes Maß an manuellen Prozessen (direkte Ausbeutung, Zahlungsanfragen, die per E-Mail bearbeitet werden, etc.) und die Angreifer wollen keine Zeit verschwenden, wenn der ROI nicht gut ist.

    Wie funktioniert Ryuk?

    Ryuk Ransomware ist nicht der Anfang, sondern das Ende eines Infektionszyklus. Es ist Ransomware, die Schritt für Schritt in Form kommt, und wenn es trifft, ist es tödlich.

    Lesen Sie den vollständigen Artikel bei Ryuk Ransomware

    Ein Auszug aus einem Artikel von Lawrence Abrams

    Ryuk Ransomware hat Epiq Global über TrickBot-Infektion angegriffen

    Der Angriff von Epiq Global begann mit einer TrickBot-Infektion

    Heute teilte eine Quelle in der Cybersicherheitsbranche ausschließlich Informationen mit BleepingComputer aus, die beleuchtet, wie Epiq Global infiziert wurde.

    Im Dezember 2019 wurde ein Computer im Netzwerk von Epiq mit der TrickBot-Malware infiziert.

    TrickBot wird am häufigsten vom Emotet Trojan installiert, der über Phishing-E-Mails verbreitet wird.

    Sobald TrickBot installiert ist, sammelt er verschiedene Daten, einschließlich Passwörter, Dateien und Cookies, von einem kompromittierten Computer und versucht dann seitlich über ein Netzwerk zu verteilen, um mehr Daten zu sammeln.

    Wenn Sie Daten in einem Netzwerk sammeln, öffnet TrickBot eine Reverse Shell für die Ryuk Betreiber.

    Die Ryuk Actors haben dann Zugriff auf den infizierten Computer und beginnen, die Aufklärung des Netzwerks durchzuführen. Nachdem sie Administratoranmeldeinformationen erhalten haben, stellen sie die Ransomware auf den Geräten des Netzwerks mithilfe von PowerShell Empire oder PSExec bereit.

    Im Fall von Epiq Global wurde Ryuk am Samstagmorgen, dem 29. Februar 2020, in ihrem Netzwerk eingesetzt, als die Ransomware begann, Dateien auf infizierten Computern zu verschlüsseln.

    Während Ryuk als sichere Ransomware ohne Schwächen in der Verschlüsselung betrachtet wird, hat Emsisofts Brett Callow BleepingComputer mitgeteilt, dass es eine geringe Chance geben kann, dass sie Dateien wiederherstellen, die von der Ryuk Ransomware verschlüsselt wurden.

    „Unternehmen, die von Ryuk betroffen sind, sollten uns kontaktieren. Es besteht eine kleine - sehr kleine - Chance, dass wir ihnen helfen können, ihre Daten wiederherzustellen, ohne das Lösegeld zu zahlen „, sagte Callow BleepingComputer.com.

    Obwohl die Chancen sehr gering sind, wenn Ihre Geräte von der Ryuk Ransomware verschlüsselt werden, tut es nicht weh, mit Emsisoft zu überprüfen.

    BleepingComputer hat Epiq mit weiteren Fragen zu diesem Angriff erreicht, aber zu dieser Zeit noch nicht gehört.

    Lesen Sie den vollständigen Artikel bei Ryuk Ransomware Attacked Epiq Global Via TrickBot Infection

    Zusätzliche Lesung

    Ein Epiq Ransomware-Angriff trifft Legal Services Leader

    Die Schnittstelle von internationalem Recht und Cyber Operations: Ein interaktives Cyber Law Toolkit

    Quelle: ComplexDiscovery

    Nach vorne gelehnt? Der Strategieplan CISA 2023-2025

    The purpose of the CISA Strategic Plan is to communicate the...

    Kontinuierliche Risikoverbesserung Cyber-Zusammenfassung für das dritte Quartal von Cowbell Cyber

    According to Manu Singh, director of risk engineering at Cowbell, "Every...

    Eine umfassende Cyber-Discovery-Ressource? Das DoD Cybersecurity Policy Chart von CSIAC

    The Cyber Security and Information Systems Information Analysis Center (CSIAC) is...

    Eine sich schnell entwickelnde Cyber-Versicherung? Cyber-Zusammenfassung für das zweite Quartal von Cowbell Cyber

    According to Isabelle Dumont, SVP of Marketing and Technology Partners at...

    Aufschlussreiche Reaktion? Nuix reagiert auf ASX-Informationsanfrage

    The following investor news update from Nuix shares a written response...

    Enthüllende Berichte? Nuix Notes Presse-Spekulationen

    According to a September 9, 2022 market release from Nuix, the...

    HayStackID® erwirbt Business Intelligence Associates

    According to HaystackID CEO Hal Brooks, “BIA is a leader in...

    Ein großes Software- und Cloud-Unternehmen? OpenText erwirbt Micro Focus

    According to OpenText CEO & CTO Mark J. Barrenechea, “We are...

    Unterwegs? 2022 eDiscovery-Marktkinetik: Fünf Interessenbereiche

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Dem Prozess vertrauen? 2021 eDiscovery-Verarbeitungsaufgaben-, Ausgaben- und Kostendaten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Das Jahr im Rückblick? 2021 eDiscovery Review Aufgaben-, Ausgaben- und Kostendatenpunkte

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Ein Blick auf die eDiscovery-Erfassung für 2021: Aufgaben-, Ausgaben- und Kostendatenpunkte

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Fünf großartige Lesungen zu Cyber, Data und Legal Discovery für September 2022

    From privacy legislation and special masters to acquisitions and investigations, the...

    Fünf großartige Lesungen zu Cyber-, Daten- und rechtlichen Erkenntnissen für August 2022

    From AI and Big Data challenges to intriguing financial and investment...

    Fünf großartige Lesungen zu Cyber, Daten und Legal Discovery für Juli 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Fünf großartige Lesungen zu Cyber, Daten und Legal Discovery für Juni 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Kühlere Temperaturen? Ergebnisse der Umfrage zum Vertrauen der eDiscovery-Geschäftssicherheit

    Since January 2016, 2,874 individual responses to twenty-eight quarterly eDiscovery Business...

    Flexion oder Ablenkung? Ein Gesamtüberblick über acht halbjährliche eDiscovery-Preiserhebungen

    Initiated in the winter of 2019 and conducted eight times with...

    Wechselnde Ströme? Achtzehn Beobachtungen zum eDiscovery-Geschäftsvertrauen im Sommer 2022

    In the summer of 2022, 54.8% of survey respondents felt that...

    Herausfordernde Varianten? Probleme, die sich auf die Geschäftsleistung von eDiscovery auswirken: Ein Überblick über

    In the summer of 2022, 28.8% of respondents viewed increasing types...