Ryuk-Ransomware
Was ist Ryuk-Ransomware?
Ryuk-RansomwareGezielte Ransomware-Familie, ab 2018 von WIZARD SPIDER betrieben, die ueber TrickBot-Intrusionen hohe Loesegelder von Unternehmen, Krankenhaeusern und Kommunen erpresste.
Ryuk ist eine erstmals im August 2018 beobachtete Ransomware-Familie, abgeleitet vom Hermes-Code und betrieben vom kriminellen Cluster WIZARD SPIDER. Im Unterschied zu Commodity-Ransomware wurde Ryuk in gezielten Hands-on-Intrusionen eingesetzt, typischerweise nach Emotet- und TrickBot-Infektionen, die Domaenenzugriff verschafften. Operatoren nutzten Mimikatz, BloodHound, Cobalt Strike und SSH zur Ausbreitung, bevor sie Server und Workstations verschluesselten. Loesegeldforderungen erreichten haeufig Millionenbetraege in Bitcoin. Zu den Opfern zaehlen Universal Health Services, mehrere US-Krankenhaeuser 2020 und die Stadt New Orleans. Ab 2021 wanderte ein Grossteil der Ryuk-Operation in die Conti-Marke, die Werkzeuge und Personal uebernahm.
● Beispiele
- 01
Ein Krankenhausnetz wird von Ryuk verschluesselt, nachdem TrickBot ueber eine einzige kompromittierte Workstation Domain-Admin-Rechte liefert.
- 02
Verteidiger setzen Netzsegmentierung und Offline-Backups speziell auf Basis der Ryuk- und TrickBot-Berichte um.
● Häufige Fragen
Was ist Ryuk-Ransomware?
Gezielte Ransomware-Familie, ab 2018 von WIZARD SPIDER betrieben, die ueber TrickBot-Intrusionen hohe Loesegelder von Unternehmen, Krankenhaeusern und Kommunen erpresste. Es gehört zur Kategorie Schadsoftware der Cybersicherheit.
Was bedeutet Ryuk-Ransomware?
Gezielte Ransomware-Familie, ab 2018 von WIZARD SPIDER betrieben, die ueber TrickBot-Intrusionen hohe Loesegelder von Unternehmen, Krankenhaeusern und Kommunen erpresste.
Wie funktioniert Ryuk-Ransomware?
Ryuk ist eine erstmals im August 2018 beobachtete Ransomware-Familie, abgeleitet vom Hermes-Code und betrieben vom kriminellen Cluster WIZARD SPIDER. Im Unterschied zu Commodity-Ransomware wurde Ryuk in gezielten Hands-on-Intrusionen eingesetzt, typischerweise nach Emotet- und TrickBot-Infektionen, die Domaenenzugriff verschafften. Operatoren nutzten Mimikatz, BloodHound, Cobalt Strike und SSH zur Ausbreitung, bevor sie Server und Workstations verschluesselten. Loesegeldforderungen erreichten haeufig Millionenbetraege in Bitcoin. Zu den Opfern zaehlen Universal Health Services, mehrere US-Krankenhaeuser 2020 und die Stadt New Orleans. Ab 2021 wanderte ein Grossteil der Ryuk-Operation in die Conti-Marke, die Werkzeuge und Personal uebernahm.
Wie schützt man sich gegen Ryuk-Ransomware?
Schutzmaßnahmen gegen Ryuk-Ransomware kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Ryuk-Ransomware?
Übliche alternative Bezeichnungen: WIZARD SPIDER Ryuk.
● Verwandte Begriffe
- malware№ 900
Ransomware
Schadsoftware, die Daten des Opfers verschlüsselt oder Systeme sperrt und für die Wiederherstellung des Zugriffs ein Lösegeld fordert.
- malware№ 1171
TrickBot
Modularer Banking-Trojaner und Post-Exploitation-Framework des WIZARD-SPIDER-Clusters, der den Weg fuer die Ransomware Ryuk, Conti und Diavol ebnete.
- malware№ 377
Emotet
Modularer Banking-Trojaner, der sich zum Malware-as-a-Service-Loader entwickelte, Ransomware-Affiliates belieferte und im Januar 2021 international zerschlagen wurde.
- defense-ops№ 193
Cobalt Strike
Eine kommerzielle Adversary-Simulation-Plattform, die in Red-Team-Operationen weit verbreitet ist und von Angreifern haeufig fuer Post-Exploitation und Command-and-Control missbraucht wird.