Ryuk-Ransomware wütet: Prosegur, TECNOL, Texas-Klinik …

Publiziert am 2. Dezember 2019 von Günter Born

[English]Wer kommt als nächster? Letzte Woche war das Sicherheitsunternehmen Prosegur ein Opfer, nun hat die Ransomware Ryuk das spanische Unternehmen TECNOL heimgesucht und legt aktuell Kliniken in Texas lahm.

Anzeige

Die Ransomware mit dem Namen Ryuk kombiniert zwei ältere Trojaner. Die Urheber der Emotet-Schadsoftware laden über die Steuermodule von Emotet auch die Ransomware Ryuk nach. Die Ransomware verschlüsselt die auf dem Rechner erreichbaren Dateien und fordert Lösegeld. Das BKA warnte Anfang 2019 vor Ryuk, welcher Deutschland erreicht habe (siehe Ryuk-Ransomware zielt auf deutsche Firmen).

Ryuk infiziert TECNOL

Tecnol ist eine spanische Firma, die sich mit der Produkten von Materialien für Abdichtungen, Chemie, Isolatoren, Oberflächenbeläge und mehr befasst. Dem nachfolgenden Tweet entnehme ich, dass die Firma über Spear-Phishing Opfer der Ransomware Ryuk geworden ist.

Weitere Informationen liegen mir derzeit noch nicht vor.

USA: tsystem.com offline, Kliniken in Dallas betroffen

Dem nachfolgenden Tweet von Kevin Beaumont entnehme ich, dass es auch in den USA einen Ransomware-Befall mit Ryuk gibt.

Die Seite von T-System (hat nichts mit der Telekom-Tochter T-Systems zu tun) ist offline, weil Ryuk wütet (ein Screenshot der Server-Dateien zeigt das). Alles, was von tsystem.com abhängt, ist damit betroffen. 40 % der US-Kliniken hängen wohl von den T-System-Diensten ab. Ergänzung: Einige zusätzliche Informationen hat Bleeping Computer zusammen getragen.

Nachlese: Ryuk bei Prosegur

Letzte Woche wurde das spanische Sicherheitsunternehmen Prosegur Opfer einer erfolgreichen Infektion mit Ryuk (Sicherheitsvorfall beim Sicherheitsunternehmen Prosegur). Im Nachgang erreichten mich noch einige Information von DRACOON aus Regensburg (die befassen sich damit, Daten digital sicher zu speichern, zu verwalten und zu teilen).

Anzeige

Ende letzter Woche wurde bekannt, dass der Sicherheitsdienstleister Prosegur mit Sitz in Madrid der Ransomware „Ryuk" zum Opfer fiel. Zu den Dienstleistungen des Unternehmens zählen unter anderem die Abwicklung automatisierter Bargeldprozesse, Geldlogistik, Werte- und Kurierlogistik sowie die Bereitstellung von Sicherheitslösungen. Prosegur ist weltweit tätig, mit 175.000 Mitarbeitern in 25 Ländern. Via Twitter bestätigte der Konzern am Mittwochnachmittag die Infektion mit dem Verschlüsselungstrojaner Ryuk und gab an, die maximalen Sicherheitsmaßnahmen getroffen zu haben, um eine interne und externe Ausbreitung der Malware zu vermeiden.

Die Ransomware Ryuk, die es über Umwege mittels Spam-E-Mails an Mitarbeiter in Unternehmensnetzwerke schafft, ist kein neues Phänomen. Im aktuellen BSI-Lagebericht 2019 wird auf die Gefahr dieser Malware-Variante hingewiesen: So heißt es, gezielte Beobachtung der verwendeten Bitcoin-Adressen lassen auf ein bereits erbeutetes Lösegeld von mindestens 600.000 US-Dollar schließen. Außerdem trete Ryuk seit dem Jahreswechsel 2018/2019 vermehrt in Verbindung mit Emotet und Trickbot-Kampagnen auf, was die erhöhte Modularität bei Schadsoftware allgemein, insbesondere aber bei Ransomware zeige. Auch im aktuellen „Bundeslagebild Cybercrime 2018" des Bundeskriminalamts, der Anfang des Monats erschienen ist, findet Ryuk Erwähnung. Das FBI habe letztes Jahr einen Bericht veröffentlicht, wonach der Verschlüsselungstrojaner seit August 2018 durch bisher unbekannte Angreifer genutzt wurde, um über 100 international tätige Konzerne zu erpressen. Dabei sollen einzelne Forderungssummen in Höhe von bis zu fünf Millionen US-Dollar in Bitcoins festgestellt worden sein. Im Gegenzug wurde den Opfern wohl ein Entschlüsselungsprogramm versprochen.

Awareness und technische Vorkehrungen

Bei der Frage, wie sich Firmen in Zeiten der wachsenden Gefährdungslage schützen können, gibt es zwei Ebenen: Die organisatorische und die technische. Unternehmen sollten zum einen dringend ihre Mitarbeiter für schadhafte Spam-E-Mails sensibilisieren, E-Mails und Anhänge von unbekannten Absendern nicht zu öffnen. Auch wenn die Empfänger bereits bekannt sind, sollten unerwartete Dateianhänge nicht unbedarft geöffnet werden. Schulungen und Awareness für Cyberangriffe sind also wichtige Bausteine, um das Sicherheitsniveau im Betrieb zu erhöhen. Aber sie können immer nur eine Ergänzung sein, denn Menschen machen Fehler und professionell gefakete Spam-Mails lassen sich häufig kaum noch von legitimen Nachrichten unterscheiden. Die Nutzung einer Filesharing-Lösung im eigenen Firmen-Branding schafft hingegen Vertrauen. Der Datenaustausch erfolgt dann über einen Link zu den abgelegten Dateien und anhand der darin integrierten eigenen URL kann der Empfänger sicher sein, zu vertrauenswürdigem Inhalt zu gelangen.

Die Lösung: Security by Design

Zusätzlich ist es bei der Anschaffung neuer Unternehmenssoftware unerlässlich, darauf zu achten, dass sie höchsten Sicherheitsansprüchen genügt und das Thema Security bereits bei der Entwicklung berücksichtigt wurde – sie also nach dem Prinzip „Security by Design" entwickelt worden ist. Um eine Infektion mit Ransomware von Vornherein auszuschließen, sollten Filesharing-Lösungen über einen integrierten Ransomware-Schutz verfügen. Das funktioniert so: Sollte ein Verschlüsselungstrojaner trotz aller Vorsichtsmaßnahmen lokale Laufwerke oder Netzwerklaufwerke verschlüsseln, verlieren Firmen dank einer Versionierung des Papierkorbs trotzdem keine einzige Datei. Schließlich werden die Daten bei einem Ransomware-Angriff mit den verschlüsselten überschrieben – die unverschlüsselten Versionen der Daten liegen automatisch im Papierkorb und können vollständig und unbeschadet wiederhergestellt werden. Insgesamt sollten Unternehmen also das Bewusstsein für Gefahren bei ihren Mitarbeitern schärfen und gleichzeitig darauf achten, dass ihre verwendeten Lösungen höchsten Standards an die Sicherheit gerecht werden.

Ähnliche Artikel:
Sicherheitsvorfall beim Sicherheitsunternehmen Prosegur
Ryuk-Ransomware zielt auf deutsche Firmen
Spanien: Ransomware-Befall bei Everis und Cadena SER

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Ryuk-Ransomware wütet: Prosegur, TECNOL, Texas-Klinik …

  1. 1ST1 sagt:
    3. Dezember 2019 um 09:04 Uhr

    Wie soll das mit der Papierkorb-Versionierung funktionieren? In Netzwerklaufwerken?

    Antworten
    • Günter Born sagt:
      3. Dezember 2019 um 17:45 Uhr

      Ich gebe euch Recht – wenn die Ransomware richtig geschrieben ist, überschreibt diese die Original-Dateien, so dass nichts im Papierkorb lande – wäre auch zu einfach. Aber das ist nur ein Aspekt des obigen Artikels ;-).

      Antworten
  2. Extrawurst sagt:
    3. Dezember 2019 um 17:17 Uhr

    Außerdem greift der Papierkorb normalerweise beim Überschreiben von Dateien nicht.

    Antworten

Schreibe einen Kommentar zu Extrawurst Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.