Im Laufe des Jahres 2019 sehen sich staatliche, lokale, stammesbezogene und territoriale (SLTT) Behörden zunehmend mit Ransomware-Angriffen konfrontiert, die zu erheblichen Netzwerkausfällen, verzögerten Dienstleistungen für die Bürger und kostspieligen Sanierungsmaßnahmen führen. Die Ransomware Ryuk ist derzeit eine der am weitesten verbreiteten Varianten in der SLTT-Bedrohungslandschaft, wobei sich die Infektionen vom zweiten auf das dritte Quartal des Jahres verdoppelt haben. Der Anstieg der Ryuk-Infektionen war so groß, dass das MS-ISAC im Juli doppelt so viele Infektionen wie in der ersten Jahreshälfte verzeichnete. Allein im dritten Quartal beobachtete das MS-ISAC Ryuk-Aktivitäten in 14 Staaten.
Was es ist
Ryuk ist eine Art von Krypto-Ransomware, die den Zugriff auf ein System, ein Gerät oder eine Datei durch Verschlüsselung blockiert, bis ein Lösegeld gezahlt wird. Ryuk wird häufig von anderer Malware auf einem System abgelegt, insbesondere von TrickBot (vorgestellt in der Bedrohung des letzten Quartals), oder erlangt über Remote Desktop Services Zugriff auf ein System. Ryuk fordert eine Zahlung in der Kryptowährung Bitcoin und weist die Opfer an, das Lösegeld in einer bestimmten Bitcoin-Brieftasche zu hinterlegen. Die Lösegeldforderung liegt in der Regel zwischen 15 und 50 Bitcoins, was je nach Kursumrechnung etwa 100.000 bis 500.000 US-Dollar entspricht. Sobald Ryuk auf einem System ist, verbreitet er sich über das Netzwerk mithilfe von PsExec oder Gruppenrichtlinien und versucht, so viele Endpunkte und Server wie möglich zu infizieren. Dann beginnt die Malware mit dem Verschlüsselungsprozess, wobei sie es speziell auf Backups abgesehen hat und diese in den meisten Fällen erfolgreich verschlüsselt.
Ryuk ist oft die letzte Malware in einem Infektionszyklus, der entweder mit Emotet oder TrickBot beginnt. Mehrfache Malware-Infektionen können den Prozess der Abhilfe erheblich erschweren. Das MS-ISAC beobachtete eine Zunahme von Fällen, in denen Emotet oder TrickBot die Erstinfektion darstellen und mehrere Malware-Varianten auf dem System abgelegt werden, wobei das Endergebnis eine Infektion mit Ryuk ist. So unterstützte das MS-ISAC kürzlich einen Vorfall, bei dem TrickBot die Antivirenanwendung des Unternehmens erfolgreich deaktivierte, sich im gesamten Netzwerk ausbreitete und schließlich Hunderte von Endgeräten und mehrere Server infizierte. Da es sich bei TrickBot um einen Banking-Trojaner handelt, hat er wahrscheinlich Finanzkontodaten auf den infizierten Systemen gesammelt und exfiltriert, bevor er die Ryuk-Ransomware-Infektion auslöste. Ryuk wurde im gesamten Netzwerk verteilt, verschlüsselte die Daten und Backups des Unternehmens und hinterließ Lösegeldnotizen auf den Rechnern.
Wie es funktioniert
Ryuk wird in erster Linie über andere Malware verbreitet, die es auf ein bereits infiziertes System abwirft. Das Auffinden des Droppers auf einem System zur Analyse ist schwierig, da die Hauptnutzlast nach der ersten Ausführung gelöscht wird. Der Dropper erstellt eine Datei, in der die Nutzlast gespeichert werden soll. Wenn die Erstellung der Datei jedoch fehlschlägt, versucht der Dropper, sie in sein eigenes Verzeichnis zu schreiben. Der Dropper enthält 32- und 64-Bit-Module der Ransomware. Sobald die Datei erstellt ist, prüft der Dropper, welcher Prozess gerade läuft, und schreibt das entsprechende Modul (32 oder 64 Bit) hinein.
Nach der Ausführung der Hauptnutzlast und dem Löschen des Droppers versucht die Malware, Antiviren- und Antimalware-bezogene Prozesse und Dienste zu stoppen. Er verwendet eine vorkonfigurierte Liste, die mehr als 40 Prozesse und 180 Dienste durch die Befehle taskkill und netstop beenden kann. Diese vorkonfigurierte Liste besteht aus Antiviren-Prozessen, Backups, Datenbanken und Dokumentenbearbeitungssoftware.
Zusätzlich ist die Hauptnutzlast dafür verantwortlich, die Persistenz in der Registrierung zu erhöhen und bösartige Nutzlasten in verschiedene Prozesse zu injizieren, z. B. in den Remote-Prozess. Die Prozessinjektion ermöglicht es der Malware, auf den Volume Shadow Service zuzugreifen und alle Schattenkopien zu löschen, einschließlich derer, die von Drittanbieteranwendungen verwendet werden. Die meisten Ransomware-Programme verwenden dieselben oder ähnliche Techniken zum Löschen von Schattenkopien, löschen aber nicht die von Drittanbieter-Anwendungen. Ryuk erreicht dies, indem es die Größe des Volumeschattendienstspeichers ändert. Sobald die Größe geändert wurde, kann die Malware die Löschung von Schattenkopien von Drittanbieteranwendungen erzwingen. Diese Techniken erschweren den Eindämmungsprozess erheblich, da sie die Fähigkeit einer Organisation behindern, Systeme in einem Zustand vor der Infektion wiederherzustellen. Darüber hinaus werden mehrere Dateien mit Backup-bezogenen Erweiterungen sowie alle Backups, die derzeit mit dem infizierten Computer oder Netzwerk verbunden sind, verfolgt und gelöscht. Diese Anti-Wiederherstellungs-Tools sind sehr umfangreich und ausgefeilter als die meisten Arten von Ransomware, so dass eine Wiederherstellung nahezu unmöglich ist, es sei denn, es werden externe Backups gespeichert und offline aufbewahrt.
Zur Verschlüsselung verwendet Ryuk die Verschlüsselungsalgorithmen RSA und AES mit drei Schlüsseln. Die Cyber-Bedrohungsakteure (CTAs) verwenden einen privaten globalen RSA-Schlüssel als Basis ihres Modells. Der zweite RSA-Schlüssel wird dem System über die Hauptnutzlast zugeführt. Dieser RSA-Schlüssel ist bereits mit dem privaten globalen RSA-Schlüssel des CTA verschlüsselt. Sobald die Malware für die Verschlüsselung bereit ist, wird ein AES-Schlüssel für die Dateien des Opfers erstellt und dieser Schlüssel mit dem zweiten RSA-Schlüssel verschlüsselt. Ryuk beginnt dann mit dem Scannen und Verschlüsseln aller Laufwerke und Netzwerkfreigaben auf dem System. Schließlich erstellt er die Lösegeldforderung „RyukReadMe.txt“ und legt sie in jedem Ordner des Systems ab.
Empfehlungen
SLTT-Regierungen sollten sich an Best Practices halten, wie sie in den CIS Controls beschrieben werden, die Teil der CIS SecureSuite-Mitgliedschaft sind. Das MS-ISAC empfiehlt Organisationen, sich an die vollständige Liste der Empfehlungen in der MS-ISAC Ransomware Security Primer zu halten, um die Auswirkungen und das Risiko von Ryuk Ransomware für Ihre Organisation zu begrenzen