Von Pierguido Iezzi, Mitbegründer von Swascan
Ryuk hat die Ransomware-Angriffslandschaft das vierte Quartal in Folge dominiert, so eine Studie von Cisco Talos-Forschern, die eine große Stichprobe von Reaktionen auf Vorfälle untersuchten und analysierten.
Die Betreiber von Ransomware ändern ihre Strategie und erhöhen damit das Risiko für Unternehmen, deren Reaktionsfähigkeit durch COVID-19 ebenfalls beeinträchtigt wird.
Die Studie zeigt, dass die Betreiber von Ryuk ihre Techniken ändern und neue Mittel einsetzen, um ihre Ziele zu erreichen.
Wie Ryuk seine "Vormachtstellung"
In den letzten Quartalen hat sich Ryuk in einer Weise entwickelt, die eindeutig darauf hindeutet, dass die kriminellen Hacker ihre Taktik ändern.
In der Tat wurde bei Ryuk ein neuer Trend beobachtet, bei dem der Infektion nicht notwendigerweise ein klassischer Trojaner vorausgeht, so dass die Ransomware für einige Zeit unentdeckt bleiben kann.
Bis vor kurzem wurden Emotet und TrickBot als anfängliche Dropper für Ryuk verwendet, aber es scheint nun, dass diese Taktik aufgegeben wurde. Die Betreiber dieser Ransomware sind auf ausgefeiltere Tools umgestiegen, die ihnen helfen, Sicherheitsprogramme zu umgehen, unauffällig zu bleiben und ihnen einen längeren Zeitrahmen zu geben, um ihre Ziele zu erreichen.
Aber die Ransomware hat sich auch in anderer Hinsicht weiterentwickelt: Ryuk begann, sich auf verschlüsselte PowerShell-Befehle zu verlassen und diese zu verwenden, um seine Nutzlast herunterzuladen, Antiviren- und Sicherheitstools zu deaktivieren, Backups zu unterbrechen und das Netzwerk zu scannen, um eine Liste von Online- und Offline-Hosts zu erstellen.
Als ob das nicht genug wäre, haben die kriminellen Hacker, die hinter diesen Angriffen stehen, damit begonnen, sensible Daten auszuspionieren, um die Opfer zur Zahlung des Lösegelds zu zwingen und damit einen Trend fortzusetzen, der 2019 begann.
Wie Ryuk zuschlägt
Phishing blieb der Hauptangriffsvektor, bei dem es möglich war, den ursprünglichen Eintrittspunkt zu identifizieren, erklären die Forscher, wobei sie anmerken, dass dies aufgrund des Mangels an zuverlässigen Aufzeichnungen schwierig war.
Allerdings gab es auch mehrere Fälle, in denen Angreifer die RDP-Dienste eines Ziels erzwangen.
Es ist schwer zu sagen, was zu dieser Veränderung beigetragen hat; es lässt sich jedoch leicht spekulieren, dass dies zum Teil auf die durch COVID-19 verursachte Zunahme von Remote-Mitarbeitern zurückzuführen ist, die die Angriffsfläche vergrößert hat.
Es gab auch eine Zunahme von Phobos-Ransomware-Angriffen, die in der Regel kompromittierte RDS-Verbindungen als Ausgangsvektor nutzen, aber trotz dieser Indikatoren bleibt Phishing immer noch der wichtigste Infektionsvektor.
Eine der Hauptauswirkungen der Pandemiezeit für Organisationen, insbesondere im Gesundheitswesen, ist nach wie vor die Fähigkeit, auf Angriffe zu reagieren.
Vor COVID-19 waren die Richtlinien für die Reaktion auf Zwischenfälle sicherlich nicht auf eine Pandemie zur gleichen Zeit wie auf einen Cyberangriff ausgerichtet!
Faktoren wie Bandbreitenbeschränkungen und mit der Reaktion beauftragte Personen sind zwar selten, haben aber die Fähigkeit von Organisationen beeinträchtigt, mit dieser Art von Angriffen umzugehen,
weshalb sie weiterhin florieren.