10.02.20
Ryuk Ransomware greift aktuell Unternehmen in der Schweiz an - So schützen Sie sich
Ryuk konzentriert seine Angriffe vor allem auf Firmennetzwerke. Die Angreifer erhoffen sich so hohe Lösegeldzahlungen. Besonders perifde: Ryuk verschlüsselt die aktuellen Daten UND die Backups, die über das Firmennetzwerk erreichbar sind. Um die Daten wieder zu entschlüsseln, stellen die Täter eine hohe Lösegeldforderung in Form von Bitcoins.
Als Kontakt geben sie oft eine Emailadresse von Protonmail und von Tutanota an. Beide Emailanbieter brüsten sich damit, keine Daten von Benutzern zu speichern. Diesen Umstand machen sich die Kriminellen zunutze.
Die Angriffsmethoden
- Angriff über das Internet auf schwach geschützte Serverinfrastrukturen
- Gezielter Versand von Phishing E-Mails an Mitarbeiter
- Ausnutzen von Schwachstellen von nicht gepatchten Betriebssystemen
- Kauf von Zugangsdaten zu Servern im Darknet
Vorgehensweise
Nachdem der Angreifer Zugang zum Netzwerk des Opfers erhalten hat, wird dessen Struktur analysiert. Anschliessend wird versucht, das ganze Netzwerk zu infiltrieren und weitere Zugangsdaten zu finden. Hat der Angreifer erst einmal Administratorrechte erlangt, wird die Verschlüsselungs-Software eingesetzt und die Daten plus Backups verschlüsselt. Dieser Vorgang erfordert Zeit. Die Hacker halten sich also geraume Zeit in Ihrem Firmennetzwerk auf.
Ryuk erklärt
Ryuk Funktionsweise erklärt
So schützen sie sich
- Das wichtigste ist, regelmässig Backups der Daten zu erstellen und diese OFFLINE zu lagern (kein Zugriff über das Firmennetzwerk)
- Kontrollieren Sie die Backups auf separaten Systemen darauf, ob sie nicht auch schon verschlüsselt sind
- Behalten Sie mehrere Backups, so dass Sie im schlimmsten Falle ältere Backups wieder einspielen können
- Lassen Sie ihren IT Dienstleister regelmässig von einer Drittfirma ihres Vertrauens überprüfen (vier Augen Prinzip)
- Segmentieren Sie ihr Netzwerk so, dass die Angreifer nicht Zugriff auf ihr gesamtes Netzwerk erhalten können
- Stellen Sie kritische Daten nur auf WORM Geräten im Netzwerk zur Verfügung stellen (Write Only Read Many). Diese können per se nicht verschlüsselt werden
Präventivmassnahmen im Unternehmen
- Überprüfen und aktualisieren Sie regelmässig die Sicherheitskonzepte für alle Systeme und Netzwerke Ihrer Organisation
- Lassen Sie regelmässig Netzwerk-Audits und Penetrationstests durchführen, um potenzielle Schwachstellen in Ihrem Netzwerk aufzudecken
- Erstellen Sie Notfallkonzepte, damit Ihr Unternehmen weiter arbeiten kann
- Sensibilisieren Sie Ihre Mitarbeiter regelmäßig (insbesondere für den vorsichtigen Umgang mit Dateianhängen und Links in E-Mails – auch von vermeintlich bekannten Absendern – sowie die möglichen Gefahren durch Makros in Office-Dokumenten)
- Proben Sie den Ernstfall
Ihre Firmendaten sind verschlüsselt worden
- Benachrichtigen Sie ihren IT Dienstleister. Er ist der einzige, der Ihre Daten aus Backups wieder herstellen kann.
- Falls Sie eine Cyberversicherung abgeschlossen haben, benachrichtigen Sie ihre Versicherung.
- Nehmen Sie auf keinen Fall Kontakt mit den Erpressern auf.
- Bezahlen Sie auf keinen Fall ein Lösegeld.
- Erstatten Sie umgehend eine Strafanzeige bei ihrer örtlichen Polizeistation.