Nach einer kurzen Winterpause ist er zurück: Das Hornetsecurity Security Lab beobachtet erneut ein erhöhtes Vorkommen von Malspam E-Mails, die den allgemein bekannten Trojaner Emotet enthalten. Und Emotet bringt zwei weitere Schadprogramme mit sich, die da heißen TrickBot und die Ransomware Ryuk. Bereits Ende 2018 wurde eindringlich vor TrickBot gewarnt, der über Emotet nachgeladen wird und einigen Unternehmen Schaden in Millionenhöhe beschert. Vom Banking-Trojaner betroffen waren hierzulande beispielsweise Krauss Maffei und das Klinikum Fürstenfeldbruck. Maschinen standen tagelang still, den Unternehmen kostet das finanzielle Summen im fünf- wenn nicht sogar sechsstelligen Bereich. Nun hat sich die Ransomware Ryuk dem Duo angeschlossen und verleiht der Attacke ein ganz neues Niveau von Cyberkriminalität.
Das Vorgehen bei Ryuk
Die drei gefährlichen Schadprogramme gehen folgendermaßen vor: Getarnt in einem Word-Dokument, dringt Emotet beim Ausführen der Datei in ein Unternehmensnetzwerk ein und kundschaftet dieses aus. Als „Türöffner“ lädt er den Banking-Trojaner TrickBot nach, der unter anderem Kontozugangsdaten kopiert. Diese Information gibt er an die Ransomware Ryuk weiter, die schließlich als letztes nachgeladen wird. Ryuk verschlüsselt nun alle im System befindlichen Dateien, die TrickBot und Emotet zuvor als sensibel bzw. wichtig eingestuft haben.Das besonders Hinterlistige an Ryuk ist allerdings, dass es neben der Verschlüsselung wichtiger Daten im gleichen Zuge alle hiervon existierenden Sicherheitskopien löscht und somit die Wiederherstellung erheblich erschwert. Experteneinschätzungen zufolge kristallisiert sich mit dieser Löschfunktion ein neuer Trend in der Entwicklung von Erpressungssoftware heraus. Die geforderte Summe richtet sich zudem nach dem Wert, den TrickBot als derzeitigen finanziellen Verfügbarkeitsrahmen des Unternehmens ausmachen konnte. Dabei ist die Attacke nach ersten Informationen sehr zielgerichtet und betrifft vor allem Unternehmen, die in der Lage sind, eine hohe Summe zu zahlen, um wieder Zugriff auf ihre Daten zu erlangen.
Das Einfallstor bei Ryuk
Unser Security Lab hat das Trio ebenfalls unter die Lupe genommen. Das Trio verbreitet sich über folgende Aufmachung:Information für Hornetsecurity Kunden:
Hornetsecurity Advanced Threat Protection erkennt Emotet und Ryuk mühelos und stellt beide Malware-Programme unter Quarantäne. Bereits in der ersten Analyse-Instanz wird der Emotet-Trojaner identifiziert. Die nachgelagerten Trojaner Ryuk und TrickBot können mithilfe der dynamischen Verhaltensanalyse in der ATP Sandbox entlarvt werden. E-Mails, die die perfiden Schadprogramme enthalten, werden den Empfängern demnach nicht zugestellt.