Ryuk-ransomware jaagt alleen op ‘groot wild’ voor maximale winst

De onlangs ontdekte ransomwaregroep Ryuk heeft sinds augustus 2018 bijna 4 miljoen dollar bij elkaar geharkt. In tegenstelling tot de meeste ransomwarecampagnes, gebruikt het daarvoor een zeer selectieve aanvalsmethode, zo blijkt uit publicaties van beveiligingsbedrijven CrowdStrike en FireEye.

Volgens de beveiligingsbedrijven is Ryuk zeer selectief ingesteld en installeert het kwaadaardige encryptiesoftware op grote doelwitten met diepe zakken. Deze werden eerder al door andere malware besmet, doorgaans de Trickbot-trojan. Een meer gebruikelijke methode is om zoveel mogelijk slachtoffers zonder onderscheid te infecteren, in de hoop om beet te hebben.

‘Big game hunting’

Opvallend is dat kleinere organisaties die met Trickbot zijn geïnfecteerd, geen last lijken te hebben van een vervolgaanval van Ryuk. CrowdStrike noemt de aanpak van deze nieuwe ransomwaregroep dan ook ‘big game hunting’. Sinds augustus vorig jaar zou er op deze manier 3,7 miljoen dollar aan Bitcoin zijn gegenereerd uit een totaal van 52 transacties.

“In 2018 observeerde FireEye een toenemend aantal gevallen, waar ransomware werd ingezet nadat de aanvallers via andere methoden toegang hadden gekregen tot de slachtofferorganisatie. Hierdoor konden ze het netwerk doorkruisen om kritieke systemen te identificeren en maximale schade toe te brengen”, aldus onderzoekers van FireEye.

Naast het lokaliseren van grote doelwitten heeft Ryuk volgens de beveiligingsbedrijven nog een andere troef in handen. De zogeheten ‘dwell time’, de periode van enkele weken tot maanden tussen de initiële infectie en de installatie van de ransomware, geeft de aanvallers ruim de tijd het geïnfecteerde netwerk te verkennen. Zo zouden aanvallers alleen de ransomware ontketenen, nadat ze de meest kritieke systemen van een netwerk hebben weten te identificeren. Naast ook de nodige wachtwoorden te hebben achterhaald, die nodig zijn om het netwerk te infecteren.

SamSam

Volgens de onderzoekers was SamSam een van de eerste campagnes die deze methode populair maakte. SamSam betrof een niet-gerelateerde ransomware, die in 2015 voor miljoenen dollars aan schade veroorzaakte door netwerken te infecteren. Zo werden onder meer de stad Atlanta, het 911-systeem van Baltimore en Boeing slachtoffer.

“Ryuk is een voorbeeld van de groeiende populariteit van deze methode bij threat actors. Wij verwachten dat deze aanvallen in 2019 blijven doorgaan. Dit vanwege het succes dat deze indringers hebben gehad bij het afpersen van grote bedragen van slachtofferorganisaties”, constateren de onderzoekers.