Trojaner Ryuk verbreitet sich jetzt selbst über WLAN-Netzwerke

Eine neue Variante der Ryuk-Ransomware ist gefährlicher als je zuvor: Wie die französische Cybersicherheitsbehörde ANSSI entdeckt hat, ver­breitet sich der Erpressungstrojaner jetzt selbstständig in Netzwerken - damit ist seine Verbreitung extrem beschleunigt worden. Das meldet das Online-Magazin Bleeping Computer und erklärt den Trick, den der berüch­tigte Erpressungstrojaner Ryuk nun verwendet. Die Hintermänner von Ryuk haben ihn mit wurmähnlichen Fähigkeiten ausgestattet, ähnlich, wie das zuvor schon bei dem Emotet-Trojaner gestartet war. Die Fähigkeit ermöglicht es der Schadsoftware, sich auf andere Geräte im lokalen Netzwerk der Opfer zu verbreiten. Die französische Cyber­sicher­heits­behörde ANSSI hatte einen solchen Fall Anfang 2021 untersucht. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet Die Verbreitung erfolgt verschleiert über eine Hilfsfunktion von Windows: "Durch die Verwendung geplanter Aufgaben verbreitet sich die Malware selbst - von Rechner zu Rechner - innerhalb der Windows-Domäne", so ANSSI (kurz für Agence Nationale de la Sécurité des Systèmes d'Information) in einem Bericht über Ryuk. "Einmal gestartet, verbreitet Ryuk sich so auf jeder erreichbaren Maschine, auf der Windows-RPC-Zugriffe möglich sind."

Selbstreplikation auf andere Netzwerkgeräte

Um sich über das lokale Netzwerk zu verbreiten, listet die neue Ryuk-Variante alle IP-Adressen im lokalen ARP-Cache auf und sendet so etwas wie ein Wake-on-LAN (WOL)-Paket an jedes der entdeckten Geräte. Anschließend startet er alle gefundenen Freigabe-Ressourcen für jedes Gerät und startet dann sein eigentliches "Werk" und verschlüsselt die Inhalte der Rechner.

Die Fähigkeit von Ryuk, die Laufwerke von Remote-Computern zu mounten und zu verschlüsseln, wurde bereits letztes Jahr beobachtet. Nun schafft es Ryuk aber auch, sich selbst auf andere Systeme zu kopieren. Darüber hinaus kann der Trojaner sich selbst aus der Ferne ausführen, indem er geplante Aufgaben nutzt, die auf einem kompromittierten Netzwerk-Host mit Hilfe des legitimen Windows-Tools schtasks.exe erstellt werden.

Lösungen werden noch gesucht

"Eine Möglichkeit, das Problem anzugehen, könnte darin bestehen, das Passwort zu ändern oder das Benutzerkonto zu deaktivieren (je nach verwendetem Konto) und dann eine doppelte KRBTGT-Domänenpasswortänderung vorzunehmen", so ANSSI. Man ist aber noch dabei, eine Lösung zu finden. "Dies würde viele Störungen in der Domäne hervorrufen - und höchstwahrscheinlich viele Neustarts erfordern, aber es würde auch die Ausbreitung sofort eindämmen."

Ryuk gehört zu einer sogenannten Ransomware-as-a-Service (RaaS)-Gruppe, die erstmals im August 2018 entdeckt wurde und eine lange Liste von Opfern hinterlassen hat. Ryuk steckte zum Beispiel hinter einer massiven Angriffswelle auf das US-Gesundheitssystem, die im November 2020 begann. Sie fordern in der Regel hohe Lösegelder, wobei sie im letzten Jahr von einem einzigen Opfer 34 Millionen Dollar erbeutet haben.

Download RogueKiller - Malware aufspüren und entfernen Download Malwarebytes Premium - Vierfacher Schutz vor Schadsoftware Siehe auch:
Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Hack, Angriff, Bug, Virus, Trojaner, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, Spam, Hackerangriff, Ransomware, Internetkriminalität, Erpressung, Phishing, Ddos, Warnung, Hacken, Darknet, Hacker Angriffe, Hacker Angriff, Attack, Ransom, Hacks, Viren, Gehackt, Schädling, Crime, China Hacker, Adware, Russische Hacker, Error, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware, Phisher, Secure, Breaking Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Hack, Angriff, Bug, Virus, Trojaner, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, Spam, Hackerangriff, Ransomware, Internetkriminalität, Erpressung, Phishing, Ddos, Warnung, Hacken, Darknet, Hacker Angriffe, Hacker Angriff, Attack, Ransom, Hacks, Viren, Gehackt, Schädling, Crime, China Hacker, Adware, Russische Hacker, Error, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware, Phisher, Secure, Breaking
Diese Nachricht empfehlen
Kommentieren36
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 01:09 Uhr Portable Monitor 156F18Portable Monitor 156F18
Original Amazon-Preis
79,98
Im Preisvergleich ab
?
Blitzangebot-Preis
63,99
Ersparnis zu Amazon 20% oder 15,99

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!