Trojaner Ryuk verbreitet sich jetzt selbst über WLAN-Netzwerke

Nadine Dressler, 28.02.2021 08:58 Uhr 25 Kommentare
Eine neue Variante der Ryuk-Ransomware ist gefährlicher als je zuvor: Wie die französische Cybersicherheitsbehörde ANSSI entdeckt hat, ver­breitet sich der Erpressungstrojaner jetzt selbstständig in Netzwerken - damit ist seine Verbreitung extrem beschleunigt worden. Das meldet das Online-Magazin Bleeping Computer und erklärt den Trick, den der berüch­tigte Erpressungstrojaner Ryuk nun verwendet. Die Hintermänner von Ryuk haben ihn mit wurmähnlichen Fähigkeiten ausgestattet, ähnlich, wie das zuvor schon bei dem Emotet-Trojaner gestartet war. Die Fähigkeit ermöglicht es der Schadsoftware, sich auf andere Geräte im lokalen Netzwerk der Opfer zu verbreiten. Die französische Cyber­sicher­heits­behörde ANSSI hatte einen solchen Fall Anfang 2021 untersucht.

Oft gehört - nie genutzt: Schutzmaßnahmen im Internet
Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet

Die Verbreitung erfolgt verschleiert über eine Hilfsfunktion von Windows: "Durch die Verwendung geplanter Aufgaben verbreitet sich die Malware selbst - von Rechner zu Rechner - innerhalb der Windows-Domäne", so ANSSI (kurz für Agence Nationale de la Sécurité des Systèmes d'Information) in einem Bericht über Ryuk. "Einmal gestartet, verbreitet Ryuk sich so auf jeder erreichbaren Maschine, auf der Windows-RPC-Zugriffe möglich sind."

Selbstreplikation auf andere Netzwerkgeräte

Um sich über das lokale Netzwerk zu verbreiten, listet die neue Ryuk-Variante alle IP-Adressen im lokalen ARP-Cache auf und sendet so etwas wie ein Wake-on-LAN (WOL)-Paket an jedes der entdeckten Geräte. Anschließend startet er alle gefundenen Freigabe-Ressourcen für jedes Gerät und startet dann sein eigentliches "Werk" und verschlüsselt die Inhalte der Rechner.

Die Fähigkeit von Ryuk, die Laufwerke von Remote-Computern zu mounten und zu verschlüsseln, wurde bereits letztes Jahr beobachtet. Nun schafft es Ryuk aber auch, sich selbst auf andere Systeme zu kopieren. Darüber hinaus kann der Trojaner sich selbst aus der Ferne ausführen, indem er geplante Aufgaben nutzt, die auf einem kompromittierten Netzwerk-Host mit Hilfe des legitimen Windows-Tools schtasks.exe erstellt werden.

Lösungen werden noch gesucht

"Eine Möglichkeit, das Problem anzugehen, könnte darin bestehen, das Passwort zu ändern oder das Benutzerkonto zu deaktivieren (je nach verwendetem Konto) und dann eine doppelte KRBTGT-Domänenpasswortänderung vorzunehmen", so ANSSI. Man ist aber noch dabei, eine Lösung zu finden. "Dies würde viele Störungen in der Domäne hervorrufen - und höchstwahrscheinlich viele Neustarts erfordern, aber es würde auch die Ausbreitung sofort eindämmen."

Ryuk gehört zu einer sogenannten Ransomware-as-a-Service (RaaS)-Gruppe, die erstmals im August 2018 entdeckt wurde und eine lange Liste von Opfern hinterlassen hat. Ryuk steckte zum Beispiel hinter einer massiven Angriffswelle auf das US-Gesundheitssystem, die im November 2020 begann. Sie fordern in der Regel hohe Lösegelder, wobei sie im letzten Jahr von einem einzigen Opfer 34 Millionen Dollar erbeutet haben.

Download RogueKiller - Malware aufspüren und entfernen
Download Malwarebytes Premium - Vierfacher Schutz vor Schadsoftware
Siehe auch:
25 Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2023 WinFuture Impressum Datenschutz Cookies