Ransomware, Ryuk und Risiko: Beginn, den epischen Angriff auf Epiq zu verstehen

According to Shyam Oza, Director of Product Management at Spanning, “The best way to protect your business from Ryuk is to avoid it. Avoidance comes when employees are educated in the matters of ransomware. Some employees do not receive the training, some do, and some know it all too well. Yet, human errors seem to be responsible for 90% of data breaches. Clearly, this tactic is not working.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Anmerkung der Redaktion: Der jüngste Ransomware-Angriff auf Rechtsdienste und eDiscovery-Anbieter Epiq hat Cyber-Sicherheitserkennung in der professionellen Community für Datenermittlung und Rechtserkennung beschleunigt. Der bestätigte Ransomware-Angriff scheint mit einer TrickBot-Infektion eingeleitet worden zu sein, die die Bereitstellung von Ryuk Ransomware ermöglichte. Die folgenden Auszüge geben Informationen und Erkenntnisse aus, die für Anwaltskanzleien, Unternehmen und Dienstleister im eDiscovery-Ökosystem nützlich sein können, um mehr über Ransomware, die Ryuk Ransomware-Familie zu erfahren und das mit Ransomware-Angriffen verbundene Risiko zu reduzieren.

Ein Auszug aus der US Government Interagency Publication on Ransomware

Ransomware: Was es ist und was zu tun ist

Was ist Ransomware?

Ransomware ist eine Art bösartiger Software, die Cyber-Akteure verwenden, um den Zugriff auf Systeme oder Daten zu verweigern. Der böswillige Cyber-Akteur hält Systeme oder Daten als Geisel, bis das Lösegeld bezahlt wird. Nach der anfänglichen Infektion versucht die Ransomware, sich auf freigegebene Speicherlaufwerke und andere barrierefreie Systeme zu verteilen. Werden die Anforderungen nicht erfüllt, bleiben das System oder die verschlüsselten Daten nicht verfügbar oder Daten können gelöscht werden.

Wie schütze ich meine Netzwerke?

Ein Engagement für Cyber-Hygiene und Best Practices ist entscheidend für den Schutz Ihrer Netzwerke. Im Folgenden finden Sie einige Fragen, die Sie Ihrer Organisation stellen können, um Ransomware-Angriffe zu verhindern:

Backups: Sichern wir alle wichtigen Informationen? Werden die Sicherungen offline gespeichert? Haben wir unsere Fähigkeit getestet, Backups während eines Vorfalls wiederherzustellen?

Risikoanalyse: Haben wir eine Cybersicherheitsrisikoanalyse der Organisation durchgeführt?

Mitarbeiterschulung: Haben wir Mitarbeiter über Best Practices für Cybersicherheit geschult?

Schwachstellenpatching: Haben wir geeignete Patches bekannter Systemschwachstellen implementiert?

Application Whitelisting: Lassen wir nur genehmigte Programme in unseren Netzwerken laufen?

Incident Response: Haben wir einen Incident Response Plan und haben wir ihn ausgeübt?

Business Continuity: Sind wir in der Lage, den Geschäftsbetrieb ohne Zugang zu bestimmten Systemen aufrechtzuerhalten? Wie lange? Haben wir das getestet?

Penetrationstests: Haben wir versucht, sich in unsere eigenen Systeme zu hacken, um die Sicherheit unserer Systeme und unsere Fähigkeit, sich gegen Angriffe zu verteidigen, zu testen?

Wie reagiere ich auf Ransomeware?

Implementieren Sie Ihren Reaktions- und Business Continuity-Plan für Sicherheitsvorfälle. Es kann Zeit dauern, bis die IT-Experten Ihres Unternehmens die Ransomware-Bedrohung für Ihre Systeme isolieren und entfernen und Daten und normale Vorgänge wiederherstellen. In der Zwischenzeit sollten Sie Schritte unternehmen, um die wesentlichen Funktionen Ihres Unternehmens entsprechend Ihrem Business Continuity Plan aufrechtzuerhalten. Unternehmen sollten Sicherungspläne, Disaster Recovery-Pläne und Business Continuity-Verfahren verwalten und regelmäßig testen.

Wenden Sie sich sofort an die Strafverfolgung. Wir empfehlen Ihnen, sich umgehend mit einem lokalen FBI oder USSS Außendienst in Verbindung zu setzen, um ein Ransomware-Ereignis zu melden und Hilfe anzufordern. Es gibt ernsthafte Risiken zu berücksichtigen, bevor das Lösegeld bezahlt wird. Wir ermutigen nicht, ein Lösegeld zu zahlen. Wir verstehen, dass Führungskräfte, wenn Unternehmen mit einer Unfähigkeit zu funktionieren konfrontiert sind, alle Optionen bewerten, um ihre Aktionäre, Mitarbeiter und Kunden zu schützen. Berücksichtigen Sie bei dieser Wahl die folgenden Risiken:

Die Zahlung eines Lösegelds garantiert nicht, dass eine Organisation den Zugriff auf ihre Daten wiedererlangen kann. Tatsächlich wurden einige Einzelpersonen oder Organisationen nie mit Entschlüsselungsschlüsseln versorgt, nachdem sie ein Lösegeld bezahlt haben.

Einige Opfer, die die Nachfrage bezahlt haben, haben berichtet, dass sie erneut von Cyberakteuren angegriffen werden.

Nach Zahlung des ursprünglich geforderten Lösegeldes wurden einige Opfer gebeten, mehr zu zahlen, um den versprochenen Entschlüsselungsschlüssel zu erhalten.

Das Bezahlen könnte dieses kriminelle Geschäftsmodell versehentlich fördern.

Lesen Sie das vollständige Dokument auf Ransomware: Was es ist und was zu tun ist (PDF)

Ein Auszug aus einem Artikel von Gabriela Nicolao und Luciano Martins

Virus Bulletin 2019 Paper: Shinigamis Rache: Der lange Schwanz der Ryuk Malware

Abstrakt

Ryuk ist eine Ransomware-Familie, die im Gegensatz zu normalen Ransomware an gezielte Kampagnen gebunden ist, bei denen Erpressung Tage oder Wochen nach einer anfänglichen Infektion auftreten kann. Ryuk wurde erstmals im August 2018 beobachtet und bleibt ab Juli 2019 aktiv.

Unter den Opfern finden wir Unternehmen aus verschiedenen Branchen, darunter Zeitungen, Restaurants, öffentliche Einrichtungen und einen Cloud-Service-Provider. Ryuk wurde als eine zweite Stufe Nutzlast in Kampagnen beobachtet, an denen Emotet und Trickbot beteiligt waren, zwei der am weitesten verbreiteten Bedrohungen, die derzeit in Malware-Kampagnen eingesetzt werden.

Ryuk trägt eine starke Code-Ähnlichkeit mit der Hermes-Ransomware und wurde wahrscheinlich von desselben Bedrohungsakteurs entwickelt und möglicherweise vertrieben. Die Code-Ähnlichkeiten zwischen Ryuk und Hermes — einer Nutzlast, die angeblich mit nordkoreanischen Bedrohungsakteuren verbunden war — veranlassten Analysten zunächst den Verdacht, dass Ryuk der berüchtigten Gruppe Lazarus APT (Advance Persistent Threat) angeschlossen war. Diese Namensnennung wurde jedoch aufgrund von Beweisen verworfen, die aus einem dunklen Web-Forum gesammelt wurden und die Malware später russischsprachigen Akteuren, die möglicherweise als Grim Spider bekannt sind, zugeschrieben.

Ryuk Chronologie

Ryuk ist eine Krypto-Ransomware, die am 17. August 2018 erstmals in einem Tweet erwähnt wurde. Es verwendete 'Ryukreadme.txt' als Lösegeldschein, daher ist der Name.ryuk auch der Name einer fiktiven Figur, die als Shinigami (Gott des Todes) in einer Manga- und Anime-Serie namens Death Note bekannt ist.

Zu der Zeit, als Ryuk erstmals berichtet wurde, hatte es bereits drei Unternehmen in verschiedenen Ländern getroffen, und Forscher wiesen darauf hin, dass Ryuk auf dem berüchtigten Quellcode der Hermes Ransomware basiert und dass es das gleiche Lösegeldschein-Format wie BitPaymer verwendet.

Die Hermes Ransomware wurde von Lazarus verwendet, einer nordkoreanischen Bedrohungsaktorgruppe, die seit 2009 aktiv ist. Aufgrund der Zuordnung von Hermes an Lazarus glaubten Forscher, dass Ryuk auch mit Lazarus verwandt war.

Lesen Sie das komplette Papier bei Shinigamis Revenge: The Long Tail of the Ryuk Malware

Ein Auszug aus einem Artikel von Shyam Oza über Spanning

Ryuk Ransomware

Im Herbst 2018 wurde eine modifizierte Version von Hermes Ransomware entdeckt: Ryuk. Sowohl Hermes als auch Ryuk haben ähnliche Eigenschaften. Sie identifizieren und verschlüsseln Netzwerkgeräte und löschen Schattenkopien, die auf den Endpunkten gespeichert sind. Der einzige Unterschied besteht darin, wie sie die Verschlüsselungsschlüssel erstellen. Während Hermes ein RSA- und ein privates Schlüsselpaar verwendet, verwendet Ryuk einen zweiten öffentlichen RSA-Schlüssel.

Ryuk Ransomware ist lukrativer als sein Vorgänger. Es richtet sich an große Organisationen und Regierungsbehörden, die am Ende große Beträge zahlen. Die Wahrheit ist, ohne die großen Auszahlungen ist die Verarbeitung von Ryuk-Angriffen nicht nachhaltig. Es beinhaltet ein hohes Maß an manuellen Prozessen (direkte Ausbeutung, Zahlungsanfragen, die per E-Mail bearbeitet werden, etc.) und die Angreifer wollen keine Zeit verschwenden, wenn der ROI nicht gut ist.

Wie funktioniert Ryuk?

Ryuk Ransomware ist nicht der Anfang, sondern das Ende eines Infektionszyklus. Es ist Ransomware, die Schritt für Schritt in Form kommt, und wenn es trifft, ist es tödlich.

Lesen Sie den vollständigen Artikel bei Ryuk Ransomware

Ein Auszug aus einem Artikel von Lawrence Abrams

Ryuk Ransomware hat Epiq Global über TrickBot-Infektion angegriffen

Der Angriff von Epiq Global begann mit einer TrickBot-Infektion

Heute teilte eine Quelle in der Cybersicherheitsbranche ausschließlich Informationen mit BleepingComputer aus, die beleuchtet, wie Epiq Global infiziert wurde.

Im Dezember 2019 wurde ein Computer im Netzwerk von Epiq mit der TrickBot-Malware infiziert.

TrickBot wird am häufigsten vom Emotet Trojan installiert, der über Phishing-E-Mails verbreitet wird.

Sobald TrickBot installiert ist, sammelt er verschiedene Daten, einschließlich Passwörter, Dateien und Cookies, von einem kompromittierten Computer und versucht dann seitlich über ein Netzwerk zu verteilen, um mehr Daten zu sammeln.

Wenn Sie Daten in einem Netzwerk sammeln, öffnet TrickBot eine Reverse Shell für die Ryuk Betreiber.

Die Ryuk Actors haben dann Zugriff auf den infizierten Computer und beginnen, die Aufklärung des Netzwerks durchzuführen. Nachdem sie Administratoranmeldeinformationen erhalten haben, stellen sie die Ransomware auf den Geräten des Netzwerks mithilfe von PowerShell Empire oder PSExec bereit.

Im Fall von Epiq Global wurde Ryuk am Samstagmorgen, dem 29. Februar 2020, in ihrem Netzwerk eingesetzt, als die Ransomware begann, Dateien auf infizierten Computern zu verschlüsseln.

Während Ryuk als sichere Ransomware ohne Schwächen in der Verschlüsselung betrachtet wird, hat Emsisofts Brett Callow BleepingComputer mitgeteilt, dass es eine geringe Chance geben kann, dass sie Dateien wiederherstellen, die von der Ryuk Ransomware verschlüsselt wurden.

„Unternehmen, die von Ryuk betroffen sind, sollten uns kontaktieren. Es besteht eine kleine - sehr kleine - Chance, dass wir ihnen helfen können, ihre Daten wiederherzustellen, ohne das Lösegeld zu zahlen „, sagte Callow BleepingComputer.com.

Obwohl die Chancen sehr gering sind, wenn Ihre Geräte von der Ryuk Ransomware verschlüsselt werden, tut es nicht weh, mit Emsisoft zu überprüfen.

BleepingComputer hat Epiq mit weiteren Fragen zu diesem Angriff erreicht, aber zu dieser Zeit noch nicht gehört.

Lesen Sie den vollständigen Artikel bei Ryuk Ransomware Attacked Epiq Global Via TrickBot Infection

Zusätzliche Lesung

Ein Epiq Ransomware-Angriff trifft Legal Services Leader

Die Schnittstelle von internationalem Recht und Cyber Operations: Ein interaktives Cyber Law Toolkit

Quelle: ComplexDiscovery