Ryuk: Geduldige Ransomware macht Millionen

Sicherheitsforscher haben eine neue Ransomware entdeckt, die sich mit einer ungewöhnlichen Methode von der Konkurrenz abgrenzt. Statt so viele Geräte wie möglich zu infizieren, nimmt „Ryuk“ gezielt große, zahlungskräftige Unternehmen ins Visier. Dazu nistet sich ein Trojaner oftmals Wochen oder Monate zuvor ein. Dieser soll die Größe und Struktur des Unternehmens sowie interne Daten ausspähen.

Während kleine Unternehmen von einer Ransomware-Attacke oftmals verschont bleiben, nehmen die Hacker gezielt die „großen Fische“ in Angriff. Erst wenn ein Ziel als lohnenswert erachtet wird, erfolgt die Infektion mit der Ransomware. Die zuvor gesammelten Daten, beispielsweise Passwörter, werden genutzt, um die Effektivität des Angriffs und den potenziellen Schaden zu verstärken.

70.000 US-Dollar pro Angriff

Die Sicherheitsforscher von CrowdStrike bezeichnen diesen Ansatz als „die Jagd nach großen Spielern“. Das Konzept geht offenbar auf, laut CrowdStrike erwirtschaftete man seit August zumindest 3,7 Millionen US-Dollar in Bitcoins. Die durchschnittliche Lösegeldsumme belief sich auf knapp 70.000 US-Dollar.

Laut CrowdStrike sei man sich relativ sicher, dass die Hacker hinter Ryuk in Russland sitzen. Darauf weisen mehrere Indizien hin. So wurde bei einem File-Scanning-Dienst eine Datei mit neuen Funktionen für die Malware von einer russischen IP-Adresse hochgeladen. Zudem trugen mehrere Dateien russische Namen.

Auch die Ransomware SamSam folgte einem ähnlichen Verhalten und griff gezielt hochrangige Ziele, beispielsweise die Systeme der US-Stadt Atlanta und Boeing, an. Die Opfer bezahlten mehr als sechs Millionen US-Dollar an Lösegeld, insgesamt soll sich der durch SamSam verursachte Schaden auf mehr als 30 Millionen US-Dollar belaufen.