Das meldet das Online-Magazin Bleeping Computer und erklärt den Trick, den der berüchtigte Erpressungstrojaner Ryuk nun verwendet. Die Hintermänner von Ryuk haben ihn mit wurmähnlichen Fähigkeiten ausgestattet, ähnlich, wie das zuvor schon bei dem Emotet-Trojaner gestartet war. Die Fähigkeit ermöglicht es der Schadsoftware, sich auf andere Geräte im lokalen Netzwerk der Opfer zu verbreiten. Die französische Cybersicherheitsbehörde ANSSI hatte einen solchen Fall Anfang 2021 untersucht.
Die Verbreitung erfolgt verschleiert über eine Hilfsfunktion von Windows: "Durch die Verwendung geplanter Aufgaben verbreitet sich die Malware selbst - von Rechner zu Rechner - innerhalb der Windows-Domäne", so ANSSI (kurz für Agence Nationale de la Sécurité des Systèmes d'Information) in einem Bericht über Ryuk. "Einmal gestartet, verbreitet Ryuk sich so auf jeder erreichbaren Maschine, auf der Windows-RPC-Zugriffe möglich sind."
Selbstreplikation auf andere Netzwerkgeräte
Um sich über das lokale Netzwerk zu verbreiten, listet die neue Ryuk-Variante alle IP-Adressen im lokalen ARP-Cache auf und sendet so etwas wie ein Wake-on-LAN (WOL)-Paket an jedes der entdeckten Geräte. Anschließend startet er alle gefundenen Freigabe-Ressourcen für jedes Gerät und startet dann sein eigentliches "Werk" und verschlüsselt die Inhalte der Rechner.
Die Fähigkeit von Ryuk, die Laufwerke von Remote-Computern zu mounten und zu verschlüsseln, wurde bereits letztes Jahr beobachtet. Nun schafft es Ryuk aber auch, sich selbst auf andere Systeme zu kopieren. Darüber hinaus kann der Trojaner sich selbst aus der Ferne ausführen, indem er geplante Aufgaben nutzt, die auf einem kompromittierten
Netzwerk-Host mit Hilfe des legitimen Windows-Tools schtasks.exe erstellt werden.
Lösungen werden noch gesucht
"Eine Möglichkeit, das Problem anzugehen, könnte darin bestehen, das Passwort zu ändern oder das Benutzerkonto zu deaktivieren (je nach verwendetem Konto) und dann eine doppelte KRBTGT-Domänenpasswortänderung vorzunehmen", so ANSSI. Man ist aber noch dabei, eine Lösung zu finden. "Dies würde viele Störungen in der Domäne hervorrufen - und höchstwahrscheinlich viele Neustarts erfordern, aber es würde auch die Ausbreitung sofort eindämmen."
Ryuk gehört zu einer sogenannten Ransomware-as-a-Service (RaaS)-Gruppe, die erstmals im August 2018 entdeckt wurde und eine lange Liste von Opfern hinterlassen hat. Ryuk steckte zum Beispiel hinter einer massiven Angriffswelle auf das US-Gesundheitssystem, die im November 2020 begann. Sie fordern in der Regel hohe Lösegelder, wobei sie im letzten Jahr von einem einzigen Opfer 34 Millionen Dollar erbeutet haben.