Eine neue Variante der Ransomware Ryuk hat wurmähnliche Funktionen, die es ihr ermöglichen, sich auf andere Geräte in lokalen Netzwerken der Opfer zu verbreiten. Dies wurde von der nationalen französischen Cybersicherheitsbehörde (ANSSI) bei der Untersuchung eines Angriffs Anfang 2021 entdeckt. "Durch die Verwendung von geplanten Tasks verbreitet sich die Malware selbst – von Rechner zu Rechner – innerhalb der Windows Domain", so ANSSI in einem nun publizierten Bericht (PDF).  Einmal gestartet, verbreite sich die Schadsoftware auf jeder erreichbaren Maschine, auf der Windows-RPC-Zugriffe möglich sind.

Ryuk habe seit 2018 viele Geräte kompromittiert, schreibt die Behörde weiter, und es seien hohe Summen an Lösegeldern gezahlt worden. Obwohl kein spezifischer Sektor als Ziel identifiziert werden könne, scheine Ryuk insbesondere die USA und Kanada zu treffen. Im Oktober 2020 sei Ryuk Berichten zufolge für 75% der Angriffe auf das amerikanische Gesundheitswesen verantwortlich gewesen.

Vor wenigen Wochen wurde bekannt, dass mehrere französische Spitäler Opfer eines Ransomware-Angriffs geworden waren, darunter das Krankenhaus Dax im Südwesten Frankreichs sowie das L'Hôpital Nord-Ouest in Villefranche-sur-Saône in der Region Lyon. Letzteres erklärte, dass es sich bei der Ransomware um Ryuk gehandelt habe. 

Der französische Präsident Emmanuel Macron hat nach den Angriffen auf die Krankenhäuser versprochen, eine Milliarde Euro in eine nationale Cybersicherheitsstrategie zu investieren. An einer Pressekonferenz sagte er, die Angriffe zeigten die "Verwundbarkeit Frankreichs und die Wichtigkeit, aufzusteigen und zu investieren", wie 'Healthcare IT News' berichtet.

Im Jahr 2020 habe es insgesamt 27 Cyber-Angriffe auf französische Spitäler gegeben, schreibt 'Healthcare IT News' mit Berufung auf Aussagen des französischen Staatssekretärs für Digitales, Cédric O.

Bei den Angriffen auf die Krankenhäuser in Dax und Villefranche-sur-Saône wurden die Telefonsysteme blockiert. Ausserdem waren die Einrichtungen gezwungen ihre Netzwerke abzuschalten, um eine Verbreitung der Ransomware zu verhindern. Davon betroffen waren Patientenakten, chirurgische Geräte, Medikamentenverwaltung, Termine, Betten- und Arztzuweisung.

ANSSI arbeite an der Wiederherstellung der Computernetzwerke und der Wiederherstellung von Daten, die zum Teil in Backups gesichert waren. Laut 'Healthcare IT News' wird erwartet, dass es mehrere Wochen dauern wird, bis die Krankenhäuser zum normalen Betrieb zurückkehren können.