{"version":1,"type":"rich","provider_name":"Libsyn","provider_url":"https:\/\/www.libsyn.com","height":90,"width":600,"title":"#125 - Was ist eigentlich ein Ryuk?","description":"Heute dreht sich alles um das Thema: \u201eWas ist eigentlich ein Ryuk?\u201d    Bei Ryuk handelt es sich um einen neuen hochriskanten Verschl\u00fcsselungstrojaner, der gezielt gro\u00dfe Unternehmen und staatliche Beh\u00f6rden angreift, um immens hohe L\u00f6segelder f\u00fcr die Entschl\u00fcsselung verschl\u00fcsselter Datenbest\u00e4nde zu fordern.   Der Verschl\u00fcsselungstrojaner Ryuk trat erstmals im August 2018 in Erscheinung und erwirtschaftete seitdem mindestens 705 Bitcoins L\u00f6segeld \u2013 umgerechnet entspricht das derzeit 2,25 Millionen Euro. Aufgrund seiner \u00c4hnlichkeit mit der Ransomware Hermes, gehen Sicherheitsexperten davon aus, dass beide Viren von der gleichen Hackergruppe entwickelt wurden und der Ursprung von Ryuk vermutlich in Russland liegt.   Ryuk tritt h\u00e4ufig in Kombination mit anderen Schadprogrammen wie Emotet und TrickBot auf. Er wird als besonders gef\u00e4hrlich eingestuft, da er neben der Verschl\u00fcsselung gesch\u00e4ftskritischer Daten, s\u00e4mtliche Sicherungskopien die er in einem System und\/ oder Netzwerk findet l\u00f6scht und dadurch die Datenwiederherstellung erschwert.   Bevor es allerdings zu einer Infektion mit Ryuk kommt, \u00f6ffnet der Trojaner Emotet seinen Mitstreitern die T\u00fcr zum Computersystem. Dabei installiert er sich in den meisten F\u00e4llen beim \u00d6ffnen eines infizierten E-Mail-Anhangs selbst und beginnt anschlie\u00dfend, das gesamte Computernetzwerk auszusp\u00e4hen.   Im n\u00e4chsten Schritt l\u00e4dt er den Banking-Trojaner TrickBot nach. Dieser sammelt Informationen und sorgt f\u00fcr Datenabfluss. Dabei greift er vor allem Kontozugangsdaten f\u00fcr Bankkonten ab und gew\u00e4hrt den Hinterm\u00e4nnern somit Einblick in die finanzielle Situation eines Unternehmens.   Zu guter Letzt hat dann die Ryuk-Ransomware ihren gro\u00dfen Auftritt. Wenn die Angreifer das Unternehmen als angemessen lukrativ f\u00fcr eine L\u00f6segeldforderung einsch\u00e4tzen, l\u00e4dt TrickBot schlie\u00dflich die Verschl\u00fcsselungssoftware Ryuk herunter. Diese verschl\u00fcsselt vor allem gesch\u00e4ftskritische Datenbest\u00e4nde, welche bei der Auskundschaftung des Unternehmens als besonders wichtig eingestuft worden sind. Dabei nutzt sie die starken Verschl\u00fcsselungsalgorithmen RSA-4096 und AES-256. Dar\u00fcber hinaus l\u00f6scht sie im gleichen Zuge s\u00e4mtliche Sicherungskopien, die sie finden kann.   Eine weitere Besonderheit von der Ryuk-Ransomware ist, dass sie im Gegensatz zu ihren Artgenossen, die verschl\u00fcsselten Daten nicht umbenennt, sondern eine Textdatei namens ("RyukReadMe.txt") erzeugt. Dessen Kopie f\u00fcgt sie jedem vorhandenen Ordner bei, sodass die Betroffenen mehrere einzigartige Schl\u00fcssel ben\u00f6tigen, sprich mehr L\u00f6segeld zahlen m\u00fcssen, um die Daten zu entschl\u00fcsseln. Im finalen Schritt fordert sie mittels einer Nachricht auf dem \u201cSperrbildschirm\u201d die Betroffenen auf, das L\u00f6segeld f\u00fcr die Entschl\u00fcsselung der Daten zu \u00fcberweisen. Um hierbei die Spuren zu verwischen, werden die Zahlungen auf mehrere Bitcoin-Wallet aufgeteilt.   Wie kann man sich nun vor solchen gef\u00e4hrlichen Ryuk-Angriffen sch\u00fctzen? Der beste Schutz gegen Ryuk-Angriffe ist, das man gar nicht erst mit infizierten Dokumenten und Dateien in Kontakt kommt und f\u00fcr ein rundum abgesichertes Unternehmensnetzwerk sorgt. Damit ein Unternehmensnetzwerk wirklich sicher ist, m\u00fcssen Sie alle Komponenten innerhalb des Netzwerks sichern, aufeinander abstimmen und auf dem neuesten Stand halten. All dies erreichen sie unter anderem durch: \u25cf       Updates und Patches, die m\u00f6glichst zeitnah nach Ver\u00f6ffentlichung installiert werden. Damit kann man bekannte Sicherheitsl\u00fccken, Schwachstellen und m\u00f6gliche Einfallstore in Betriebssystemen oder Anwendungen schlie\u00dfen. \u25cf       einer aktuellen Antiviren-Software, die viele Sch\u00e4dlinge erkennt, blockiert und beseitigt, so dass es gar nicht erst zu deren Ausf\u00fchrung  kommt. \u25cf       einer richtig konfigurierten Firewall,  die die Kommunikation zwischen Netzwerk und Internet \u00fcberwacht. Sobald sie einen verd\u00e4chtigen Datenfluss registriert, wird diese gemeldet und die Kommunikation geblockt. \u25cf       einen Spamfilter, der eine ganze Menge sch\u00e4dlicher E-Mails aussortiert, so dass diese gar nicht erst in einem E-Mail Postfach landen. Allerdings k\u00f6nnen Spamfilter im  Falle von Emotet und Ryuk nicht ausreichend sein. Hier m\u00fcssen alle Mitarbeiter im richtigen Umgang mit E-Mails samt E-Mail Anh\u00e4ngen geschult werden. \u25cf       regelm\u00e4\u00dfige Security-Awareness Trainings. Dadurch k\u00f6nnen sowohl Mitarbeiter, als auch die Gesch\u00e4ftsf\u00fchrung und alle Anwender in einem Unternehmensnetzwerk f\u00fcr potentielle Gefahren sensibilisiert und im Umgang mit diesen geschult werden. \u25cf       regelm\u00e4\u00dfige Backups, die im Falle eines Angriffs oder eines Ausfallszenarios einen Datenverlust minimieren. \u25cf       die Deaktivierung von Makros in Office-Dokumenten Kommt es allerdings doch zu einem Sicherheitsvorfall m\u00fcssen Sie Ruhe bewahren und d\u00fcrfen unter keinen Umst\u00e4nden voreilige Ma\u00dfnahmen treffen, die wom\u00f6glich die Situation noch verschlimmern oder f\u00fcr die Analyse wertvolle Spuren vernichten k\u00f6nnten. Melden Sie den Vorfall an das BSI. Beim Abfluss personenbezogener Daten \u2013 was bei Emotet-Infektionen bereits durch das Aussp\u00e4hen von E\u2011Mails aus Outlook-Postf\u00e4chern geschieht \u2013 ist au\u00dferdem eine Meldung gem\u00e4\u00df Art. 33 DSGVO an Ihren Landesdatenschutzbeauftragten in der Regel innerhalb von 72 Stunden verpflichtend. Dar\u00fcber hinaus sollten sie eine Sprachregelung  zum Vorfall formulieren und Ihre Mitarbeiter informieren. Im Fall einer Verschl\u00fcsselung von Daten sollten Sie grunds\u00e4tzlich nicht auf die Erpressung eingehen und L\u00f6segeld bezahlen. Stattdessen sollten die Daten nach einem Neuaufbau des Netzwerks aus Backups zur\u00fcckgespielt werden. Bevor wir nun zum Schluss unseres heutigen Podcasts kommen, m\u00f6chte ich noch einmal ganz kurz alle wichtigen und j\u00fcngsten Fakten \u00fcber die Ransomware Ryuk zusammenfassen:              Ryuk greift gezielt gro\u00dfe Unternehmen und staatliche Beh\u00f6rden an, die erstens in der Lage sind hohe L\u00f6segeldforderungen zu zahlen. Zweitens bereits mit den Schadprogrammen Emotet und TrickBot infiziert wurden. Vor dem Ausrollen von Ryuk f\u00fchren die Hinterm\u00e4nner mithilfe der Standard-Tools der Windows-Befehlszeile eine Netzwerkerkundung durch. Die Hinterm\u00e4nner erreichen eine Lateral-Bewegung durch die Netzwerke der Betroffenen, indem sie die legitimen, gesammelten Anmeldeinformationen und Fernzugriffs-Tools wie RDP missbrauchen Um den Zugang aufrechtzuerhalten, erstellen die Cyberkriminellen Service-Benutzerkonten, die auch verwendet werden k\u00f6nnen, um auf Recovery-Bem\u00fchungen zu reagieren Sobald die Hinterm\u00e4nner Zugriff auf Konten mit erweiterten Rechten haben, deaktivieren bzw. entfernen Sie Sicherheitssoftware, Protokollierung und Backups Au\u00dferdem werden Batchskripts und Windows-Tools wie PsExec genutzt,  um Ryuk \u00fcber einzelne Maschinen hinweg einzusetzen.                  Kontakt: Ingo L\u00fccker, ingo.luecker@itleague.de ","author_name":"IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert","author_url":"https:\/\/www.itleague.de","html":"