Die Ryuk-Ransomware-Variante wurde erstmals im August 2018 „in freier Wildbahn“ entdeckt. Seitdem hat es an Bekanntheit gewonnen und ist zu einer der bekanntesten und teuersten Ransomware-Varianten überhaupt geworden.
Im Gegensatz zu frühen Ransomware-Varianten wie WannaCry ist Ryuk äußerst zielgerichtet. Das Design der Malware erfordert, dass jedes Opfer die individuelle Aufmerksamkeit der Cyberkriminellen erhält, die die Malware betreiben. Daher wird Ryuk in gezielten Kampagnen mit hochgradig maßgeschneiderten Infektionsvektoren und hohen Lösegeldforderungen eingesetzt.
Ryuk ist als gezielte Ransomware- Variante konzipiert, was bedeutet, dass es bei seinen Opfern auf Qualität statt Quantität setzt. Eine Ryuk-Infektion beginnt mit einem sehr gezielten Angriff, um ein beabsichtigtes Opfer zu infizieren, gefolgt von Dateiverschlüsselung und einer extrem hohen Lösegeldforderung.
Die Betreiber der Ryuk-Ransomware gehen gezielt vor, um ihre Opfer auszuwählen und zu infizieren. Anstatt zu versuchen, eine große Anzahl von Computern zu infizieren und ein relativ kleines Lösegeld zu verlangen (wie WannaCry), konzentrieren sich Kampagnen mit der Ryuk-Ransomware auf eine einzelne Organisation und haben einen extrem hohen Preis für die Datenwiederherstellung.
Aus diesem Grund wird Ryuk häufig sehr gezielt verbreitet. Dazu gehören die Verwendung maßgeschneiderter Spear-Phishing-E-Mails und die Ausnutzung kompromittierter Anmeldeinformationen für den Fernzugriff auf Systeme über das Remote Desktop Protocol (RDP).
Eine Spear-Phishing-E-Mail kann Ryuk direkt übertragen oder die erste einer Reihe von Malware-Infektionen sein. Emotet, TrickBot und Ryuk sind eine häufige Kombination. Mit RDP kann ein Cyberkrimineller Ryuk direkt auf dem Zielcomputer installieren und ausführen oder seinen Zugriff nutzen, um andere, wertvollere Systeme im Netzwerk zu erreichen und zu infizieren.
Ryuk verwendet eine Kombination von Verschlüsselungsalgorithmen, darunter einen symmetrischen Algorithmus (AES-256) und einen asymmetrischen (RSA 4096). Die Ransomware verschlüsselt eine Datei mit dem symmetrischen Algorithmus und fügt eine Kopie des symmetrischen Verschlüsselungsschlüssels hinzu, der mit dem öffentlichen RSA-Schlüssel verschlüsselt ist. Nach Zahlung des Lösegelds stellt der Ryuk-Betreiber eine Kopie des entsprechenden privaten RSA-Schlüssels zur Verfügung, der die Entschlüsselung des symmetrischen Verschlüsselungsschlüssels und damit der verschlüsselten Dateien ermöglicht.
Ransomware stellt eine ernsthafte Bedrohung für die Stabilität eines infizierten Systems dar, wenn sie die falschen Dateien verschlüsselt. Aus diesem Grund verzichtet Ryuk bewusst auf die Verschlüsselung bestimmter Dateitypen (einschließlich .exe). und .dll) und Dateien in bestimmten Ordnern im System. Dies ist zwar kein narrensicheres System, verringert aber die Wahrscheinlichkeit, dass Ryuk einen infizierten Computer kaputt macht, was das Wiederherstellen von Dateien schwieriger oder unmöglich macht, selbst wenn ein Lösegeld gezahlt wird.
Ryuk gilt als eine der teuersten Ransomware-Varianten, wobei die durchschnittliche Lösegeldforderung im ersten Quartal 2020 111.605 US-Dollar erreichte . Ryuk-Lösegeldscheine enthalten eine E-Mail-Adresse, über die Opfer die Cyberkriminellen, die die Ransomware betreiben, ansprechen können, um Anweisungen zur Zahlung des Lösegelds zu erhalten.
Allerdings erhalten Organisationen, die sich für die Zahlung des Lösegelds entscheiden, möglicherweise nicht immer das, wofür sie bezahlt haben. Die Zahlung einer Lösegeldforderung sollte dazu führen, dass der Cyberkriminelle einen Entschlüsselungsschlüssel und/oder eine Software sendet, mit der die Dateien des Opfers entschlüsselt werden können. In den meisten Fällen nimmt der Cyberkriminelle das Lösegeld entgegen, ohne Zugriff auf die Dateien zu erhalten.
Doch selbst wenn die Cyberkriminellen in gutem Glauben handeln, gibt es keine Garantie dafür, dass die Organisation wieder Zugriff auf alle verlorenen Dateien erhält. Eine Version des Ryuk-Ransomware-Entschlüsselers wies einen Fehler im Code auf, der dazu führte, dass beim Entschlüsseln einer großen Datei das letzte Byte verloren ging. Während in einigen Dateiformaten dieses letzte Byte nur zum Auffüllen dient, ist es in anderen für die Interpretation der Datei von entscheidender Bedeutung. Daher sollte ein Ryuk-Opfer nicht unbedingt damit rechnen, alle seine verschlüsselten Dateien zurückzugewinnen, selbst wenn es das Lösegeld zahlt.
Opfer eines Ryuk-Ransomware-Angriffs zu werden, ist für ein Unternehmen äußerst kostspielig. Die Betreiber der Ryuk-Ransomware geben sich Mühe, einen gezielten Spear-Phishing-Köder zu entwickeln, und verlangen für ihre Mühe ein hohes Lösegeld. In manchen Fällen reicht jedoch selbst die Zahlung des Lösegelds nicht aus, um den Zugriff eines Unternehmens auf sensible oder wertvolle Daten wiederherzustellen.
Aus diesem Grund ist es weitaus besser, einen Ransomware-Angriff zu verhindern, als darauf zu reagieren. Wenn die Ryuk-Malware vor Beginn der Verschlüsselung erkannt werden kann, kann der Vorfall mit minimalen Kosten für das Unternehmen entschärft werden.
Der Einsatz der Anti-Ransomware-Lösung von Check Point kann einem Unternehmen dabei helfen, sich gegen Ryuk und andere Ransomware-Varianten zu verteidigen. Dieses Tool überwacht häufiges Ransomware-Verhalten und ermöglicht es, sogar Zero-Day-Ransomware-Varianten zu erkennen. Da legitime Programme nicht die gleichen Verhaltensweisen zeigen, wie z. B. das Öffnen und Verschlüsseln einer großen Anzahl von Dateien, kann die Anti-Ransomware-Lösung von Check Point eine hochpräzise Ransomware-Erkennung bieten und den Schaden und die Kosten minimieren, die mit einem versuchten Ryuk-Ransomware-Angriff verbunden sind.