Manchmal kann es schnell gehen, wie eine Analyse des Vorgehens von Ryuk-Akteuren zeigt. Zwischen der ersten Phishing-Mail und Verschlüsselung der Daten auf einem System sind demnach nur 5 Stunden vergangen.

Dabei hätten die Cyberkriminellen die Privilegien via die Zerologon-Schwachstelle (CVE- 2020-1472) – eine neue, kritische Schwachstelle in der Kryptografie von Microsofts Netlogon-Prozess – eskaliert und Tools wie Cobalt Strike, AdFind und Powershell eingesetzt, heisst bei 'The DFIR Report'. 

Ryuk war demnach in den vergangenen Jahren eine der tüchtigsten Ransomware-Banden. Laut dem FBI seien bis Februar 2020 61 Millionen Dollar an die Gruppe gezahlt worden. In den vergangenen Wochen sorgte ein Angriff von Ryuk auf die Spitäler der UHS-Gruppe für Aufmerksamkeit. 

Den ersten Schritt vollbrachten die Cyberkriminellen im beschriebenen Fall mit einem erfolgreichen Phishing-E-Mail. Dadurch sei zunächst der Loader Bazar eingeschleust worden. Bereits zwei Stunden später sei die Zerologon-Lücke ausgenutzt und Passwörter zurückgesetzt worden.

Anschliessend hätten sich die Angreifer innert kürzester Zeit auf den Systemen verbreiten können, indem sie sich Powershell, das Active Directory und Remote Desktop Protocol (RDP) zunutze gemacht hätten.

Die Akteure erreichten ihr letztes Ziel und hätten es geschafft, die Ransomware auf dem primären Domain Controller auszuführen. Gerade mal 5 Stunden nach der ersten Handlung war der Angriff vollbracht, so der ausführliche Bericht.

Ryuk ist eine Ransomware, die die Dateien der Opfer verschlüsselt und Lösegeld in Form von Bitcoin fordert, um die Originaldateien freizugeben. Laut Informationen des Fraunhofer-Instituts hat Ryuk Ähnlichkeiten mit der Ransomware Hermes, die im Dark Web verkauft und von verschiedenen Akteuren verwendet wird.