{"id":225601,"date":"2019-12-02T19:41:58","date_gmt":"2019-12-02T18:41:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225601"},"modified":"2023-02-20T08:16:04","modified_gmt":"2023-02-20T07:16:04","slug":"ryuk-ransomware-wtet-prosegur-tecnol-texas-klinik","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/02\/ryuk-ransomware-wtet-prosegur-tecnol-texas-klinik\/","title":{"rendered":"Ryuk-Ransomware w&uuml;tet: Prosegur, TECNOL, Texas-Klinik &hellip;"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[English]Wer kommt als n\u00e4chster? Letzte Woche war das Sicherheitsunternehmen Prosegur ein Opfer, nun hat die Ransomware Ryuk das spanische Unternehmen TECNOL heimgesucht und legt aktuell Kliniken in Texas lahm.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/1a4621a836134719a98a42d8f3042a83\" alt=\"\" width=\"1\" height=\"1\" \/>Die Ransomware mit dem Namen Ryuk kombiniert zwei \u00e4ltere Trojaner. Die Urheber der Emotet-Schadsoftware laden \u00fcber die Steuermodule von Emotet auch die Ransomware Ryuk nach. Die Ransomware verschl\u00fcsselt die auf dem Rechner erreichbaren Dateien und fordert L\u00f6segeld. Das BKA warnte Anfang 2019 vor Ryuk, welcher Deutschland erreicht habe (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/01\/18\/ryuk-ransomware-zielt-auf-deutsche-firmen\/\">Ryuk-Ransomware zielt auf deutsche Firmen<\/a>).<\/p>\n<h2>Ryuk infiziert TECNOL<\/h2>\n<p>Tecnol ist eine <a href=\"https:\/\/www.tecnol.es\/\" target=\"_blank\" rel=\"noopener noreferrer\">spanische Firma<\/a>, die sich mit der Produkten von Materialien f\u00fcr Abdichtungen, Chemie, Isolatoren, Oberfl\u00e4chenbel\u00e4ge und mehr befasst. Dem nachfolgenden Tweet entnehme ich, dass die Firma \u00fcber Spear-Phishing Opfer der Ransomware Ryuk geworden ist.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"es\">\"TECNOL\" otra empresa espa\u00f1ola afectada tambi\u00e9n por <a href=\"https:\/\/twitter.com\/hashtag\/Ryuk?src=hash&amp;ref_src=twsrc%5Etfw\">#Ryuk<\/a>, el Spear Ransomware que golpea y se propaga activamente en Espa\u00f1a desde hace algunas semanas. <a href=\"https:\/\/t.co\/BYWA642UHX\">pic.twitter.com\/BYWA642UHX<\/a><\/p>\n<p>\u2014 Germ\u00e1n Fern\u00e1ndez (@1ZRR4H) <a href=\"https:\/\/twitter.com\/1ZRR4H\/status\/1201483886179565568?ref_src=twsrc%5Etfw\">December 2, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Weitere Informationen liegen mir derzeit noch nicht vor.<\/p>\n<h2>USA: tsystem.com offline, Kliniken in Dallas betroffen<\/h2>\n<p>Dem nachfolgenden Tweet von Kevin Beaumont entnehme ich, dass es auch in den USA einen Ransomware-Befall mit Ryuk gibt.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/t.co\/ioEIS4CdSG\">https:\/\/t.co\/ioEIS4CdSG<\/a> and everything under it offline. Ryuk ransomware again. 40% of US hospitals apparently rely on their services. <a href=\"https:\/\/t.co\/msOYK6t2HC\">https:\/\/t.co\/msOYK6t2HC<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1201508705805750275?ref_src=twsrc%5Etfw\">December 2, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Seite von T-System (hat nichts mit der Telekom-Tochter T-Systems zu tun) ist offline, weil Ryuk w\u00fctet (ein Screenshot der Server-Dateien zeigt das). Alles, was von tsystem.com abh\u00e4ngt, ist damit betroffen. 40 % der US-Kliniken h\u00e4ngen wohl von den T-System-Diensten ab. Erg\u00e4nzung: Einige zus\u00e4tzliche Informationen hat <a href=\"https:\/\/web.archive.org\/web\/20220528053629\/https:\/\/www.bleepingcomputer.com\/news\/security\/ryuk-ransomware-is-making-victims-left-and-right\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer zusammen getragen<\/a>.<\/p>\n<h2>Nachlese: Ryuk bei Prosegur<\/h2>\n<p>Letzte Woche wurde das spanische Sicherheitsunternehmen Prosegur Opfer einer erfolgreichen Infektion mit Ryuk (<a href=\"https:\/\/borncity.com\/blog\/2019\/11\/27\/sicherheitsvorfall-bei-prosegur\/\">Sicherheitsvorfall beim Sicherheitsunternehmen Prosegur<\/a>). Im Nachgang erreichten mich noch einige Information von DRACOON aus Regensburg (die befassen sich damit, Daten digital sicher zu speichern, zu verwalten und zu teilen).<\/p>\n<blockquote><p>Ende letzter Woche wurde bekannt, dass der Sicherheitsdienstleister Prosegur mit Sitz in Madrid der Ransomware \u201eRyuk\" zum Opfer fiel. Zu den Dienstleistungen des Unternehmens z\u00e4hlen unter anderem die Abwicklung automatisierter Bargeldprozesse, Geldlogistik, Werte- und Kurierlogistik sowie die Bereitstellung von Sicherheitsl\u00f6sungen. Prosegur ist weltweit t\u00e4tig, mit 175.000 Mitarbeitern in 25 L\u00e4ndern. Via Twitter best\u00e4tigte der Konzern am Mittwochnachmittag die Infektion mit dem Verschl\u00fcsselungstrojaner Ryuk und gab an, die maximalen Sicherheitsma\u00dfnahmen getroffen zu haben, um eine interne und externe Ausbreitung der Malware zu vermeiden.<\/p>\n<p>Die Ransomware Ryuk, die es \u00fcber Umwege mittels Spam-E-Mails an Mitarbeiter in Unternehmensnetzwerke schafft, ist kein neues Ph\u00e4nomen. Im aktuellen BSI-Lagebericht 2019 wird auf die Gefahr dieser Malware-Variante hingewiesen: So hei\u00dft es, gezielte Beobachtung der verwendeten Bitcoin-Adressen lassen auf ein bereits erbeutetes L\u00f6segeld von mindestens 600.000 US-Dollar schlie\u00dfen. Au\u00dferdem trete Ryuk seit dem Jahreswechsel 2018\/2019 vermehrt in Verbindung mit Emotet und Trickbot-Kampagnen auf, was die erh\u00f6hte Modularit\u00e4t bei Schadsoftware allgemein, insbesondere aber bei Ransomware zeige. Auch im aktuellen \u201eBundeslagebild Cybercrime 2018\" des Bundeskriminalamts, der Anfang des Monats erschienen ist, findet Ryuk Erw\u00e4hnung. Das FBI habe letztes Jahr einen Bericht ver\u00f6ffentlicht, wonach der Verschl\u00fcsselungstrojaner seit August 2018 durch bisher unbekannte Angreifer genutzt wurde, um \u00fcber 100 international t\u00e4tige Konzerne zu erpressen. Dabei sollen einzelne Forderungssummen in H\u00f6he von bis zu f\u00fcnf Millionen US-Dollar in Bitcoins festgestellt worden sein. Im Gegenzug wurde den Opfern wohl ein Entschl\u00fcsselungsprogramm versprochen.<\/p>\n<p><strong>Awareness und technische Vorkehrungen<\/strong><\/p>\n<p>Bei der Frage, wie sich Firmen in Zeiten der wachsenden Gef\u00e4hrdungslage sch\u00fctzen k\u00f6nnen, gibt es zwei Ebenen: Die organisatorische und die technische. Unternehmen sollten zum einen dringend ihre Mitarbeiter f\u00fcr schadhafte Spam-E-Mails sensibilisieren, E-Mails und Anh\u00e4nge von unbekannten Absendern nicht zu \u00f6ffnen. Auch wenn die Empf\u00e4nger bereits bekannt sind, sollten unerwartete Dateianh\u00e4nge nicht unbedarft ge\u00f6ffnet werden. Schulungen und Awareness f\u00fcr Cyberangriffe sind also wichtige Bausteine, um das Sicherheitsniveau im Betrieb zu erh\u00f6hen. Aber sie k\u00f6nnen immer nur eine Erg\u00e4nzung sein, denn Menschen machen Fehler und professionell gefakete Spam-Mails lassen sich h\u00e4ufig kaum noch von legitimen Nachrichten unterscheiden. Die Nutzung einer Filesharing-L\u00f6sung im eigenen Firmen-Branding schafft hingegen Vertrauen. Der Datenaustausch erfolgt dann \u00fcber einen Link zu den abgelegten Dateien und anhand der darin integrierten eigenen URL kann der Empf\u00e4nger sicher sein, zu vertrauensw\u00fcrdigem Inhalt zu gelangen.<\/p>\n<p><strong>Die L\u00f6sung: Security by Design <\/strong><\/p>\n<p>Zus\u00e4tzlich ist es bei der Anschaffung neuer Unternehmenssoftware unerl\u00e4sslich, darauf zu achten, dass sie h\u00f6chsten Sicherheitsanspr\u00fcchen gen\u00fcgt und das Thema Security bereits bei der Entwicklung ber\u00fccksichtigt wurde \u2013 sie also nach dem Prinzip \u201eSecurity by Design\" entwickelt worden ist. Um eine Infektion mit Ransomware von Vornherein auszuschlie\u00dfen, sollten Filesharing-L\u00f6sungen \u00fcber einen integrierten Ransomware-Schutz verf\u00fcgen. Das funktioniert so: Sollte ein Verschl\u00fcsselungstrojaner trotz aller Vorsichtsma\u00dfnahmen lokale Laufwerke oder Netzwerklaufwerke verschl\u00fcsseln, verlieren Firmen dank einer Versionierung des Papierkorbs trotzdem keine einzige Datei. Schlie\u00dflich werden die Daten bei einem Ransomware-Angriff mit den verschl\u00fcsselten \u00fcberschrieben \u2013 die unverschl\u00fcsselten Versionen der Daten liegen automatisch im Papierkorb und k\u00f6nnen vollst\u00e4ndig und unbeschadet wiederhergestellt werden. Insgesamt sollten Unternehmen also das Bewusstsein f\u00fcr Gefahren bei ihren Mitarbeitern sch\u00e4rfen und gleichzeitig darauf achten, dass ihre verwendeten L\u00f6sungen h\u00f6chsten Standards an die Sicherheit gerecht werden.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/11\/27\/sicherheitsvorfall-bei-prosegur\/\">Sicherheitsvorfall beim Sicherheitsunternehmen Prosegur<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/01\/18\/ryuk-ransomware-zielt-auf-deutsche-firmen\/\">Ryuk-Ransomware zielt auf deutsche Firmen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/11\/05\/spanien-ransomware-befall-bei-everis-und-cadena-ser\/\">Spanien: Ransomware-Befall bei Everis und Cadena SER<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Wer kommt als n\u00e4chster? Letzte Woche war das Sicherheitsunternehmen Prosegur ein Opfer, nun hat die Ransomware Ryuk das spanische Unternehmen TECNOL heimgesucht und legt aktuell Kliniken in Texas lahm.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-225601","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225601","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=225601"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225601\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=225601"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=225601"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=225601"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}