Header Navigation - DE
Background image for Was ist Ryuk Ransomware? Eine detaillierte Analyse
Cybersecurity 101/Intelligente Bedrohung/Ryuk Ransomware

Was ist Ryuk Ransomware? Eine detaillierte Analyse

Ryuk Ransomware zielt auf Unternehmen ab, um finanziellen Gewinn zu erzielen. Verstehen Sie ihre Taktiken und entdecken Sie Strategien, um Ihre Daten vor dieser Bedrohung zu schützen.

Autor: SentinelOne

Ryuk Ransomware ist eine hochentwickelte Malware, die es auf Unternehmen abgesehen hat, um finanziellen Gewinn zu erzielen. Dieser Leitfaden untersucht, wie Ryuk funktioniert, wie es verbreitet wird und welche Auswirkungen es auf die Opfer haben kann.

Erfahren Sie mehr über wirksame Strategien zur Prävention und Wiederherstellung. Das Verständnis von Ryuk Ransomware ist für Unternehmen unerlässlich, um ihre Cybersicherheitsmaßnahmen gegen Ransomware-Angriffe zu verbessern.

Ryuk Ransomware – Ausgewähltes Bild | SentinelOneWas ist Ryuk Ransomware?

Ryuk ist eine der ersten Ransomware-Familien, die in der Lage ist, Netzlaufwerke und -ressourcen zu identifizieren und zu verschlüsseln sowie Schattenkopien auf dem Endgerät des Opfers zu löschen.

Dies macht es unglaublich schwierig, sich von einem Angriff zu erholen, wenn keine externen Backups der Daten vorhanden sind.

Die Ursprünge der Ryuk-Ransomware

Der Name "Ryuk" stammt wahrscheinlich von einer Figur aus dem beliebten Mystery-Manga und Anime "Death Note" aus den frühen 2000er Jahren. In dieser Geschichte war "Ryuk" ein Todesgott, der gezielte Tötungen ermöglichte.

Ryuk Ransomware wurde erstmals im August 2018 entdeckt, als sie begann, große Organisationen für hohe Lösegeldsummen ins Visier zu nehmen.

Verantwortlich dafür ist die russische kriminelle Organisation WIZARD SPIDER. Ryuk etablierte sich schnell als "Big Game Hunting"-Malware, was eine Veränderung für die kriminelle Organisation darstellte.

Zuvor hatte sich WIZARD SPIDER auf Betrugsangriffe mit ihrer Malware TrickBot konzentriert. Genauer gesagt wird angenommen, dass Ryuk von einer Untergruppe der kriminellen Organisation namens "GRIM SPIDER" betrieben wird.

Der Name der Ransomware wird in der Lösegeldforderung angegeben, die den Angriffen beigefügt ist. Sie sind signiert mit: Kein System ist vor Ryuk sicher.

ryuk ransom noteRyuks Opfer bis heute:

Ryuk zielt auf namhafte Organisationen ab, bei denen sie wichtige Informationen finden können, die den Betrieb der Opfer lahmlegen.

Zu ihren Zielen gehörten Zeitungen, Krankenhäuser und städtische Organisationen, was zu Lösegeldzahlungen in Höhe von Hunderttausenden führte.

Da einige der Angriffe rund um die US-Wahlen stattfanden und auf solche sensiblen Daten abzielten, vermuten einige, dass hinter den Cyberangriffen versteckte Motive stecken.

Bekannte Ryuk-Ransomware-Angriffe:

Oktober 2018: Ryuk griff das große Unternehmen Onslow Water and Sewer Authority (OWASA) an und legte dessen Netzwerk lahm.

Dezember 2018: Tribune Publishing Newspapers wurde zum Opfer, was sich auf Nutzer wie die Los Angeles Times auswirkte.

2019–2020: Ryuk griff eine Reihe von Krankenhäusern in Kalifornien, New York und Oregon an. Außerdem wurden britische und deutsche Gesundheitseinrichtungen angegriffen, was zu Schwierigkeiten beim Zugriff auf Patientenakten führte und sogar die Intensivpflege beeinträchtigte.

Insgesamt wurden Ende 2020 mehr als ein Dutzend Krankenhäuser Opfer von Ransomware-Angriffen. Im Juni 2019 zahlte Lake City in Florida 460.000 US-Dollar Lösegeld, weil ein Mitarbeiter eine infizierte E-Mail geöffnet hatte.

Wie Ryuk-Ransomware verbreitet wird

Ryuk Ransomware verfolgt einen dynamischen Ansatz bei der Verbreitung – bei Vorfällen kommen oft einzigartige Taktiken zum Einsatz, die speziell auf die jeweiligen Ziele zugeschnitten sind. Während andere Ransomware-Angriffe ein breites Netz auswerfen und eine große Anzahl verschiedener Personen und Organisationen ins Visier nehmen, in der Hoffnung, dass der Angriff bei einem oder zwei von ihnen erfolgreich ist, sind Ryuk-Ransomware-Angriffe speziell auf das Netzwerk zugeschnitten, das die Angreifer kompromittieren wollen.

Ryuk-Ransomware wird mit einer der folgenden ersten Angriffsmethoden verbreitet:

  1. Durch direkten Zugriff auf einen ungeschützten RDP-Port
  2. Durch E-Mail-Phishing, um Fernzugriff zu erlangen
  3. Durch den Einsatz von E-Mail-Anhängen und Downloads, um Zugriff auf das Netzwerk zu erlangen

Die Ransomware Ryuk wird häufig über die Malware Emotet oder TrickBot-Malware verbreitet. Es werden nur wichtige Dateien verschlüsselt, was die Erkennung erschwert. Die heruntergeladene Banking-Malware Emotet kann zusätzliche Malware auf den Computer laden, wobei Spyware die primäre Nutzlast darstellt. Auf diese Weise können die Angreifer Administratoranmeldedaten sammeln.

Diese wiederum ermöglichen es ihnen, sich im Netzwerk zu bewegen, um auf wichtige Ressourcen zuzugreifen und diese zu verschieben. Ryuk verwendet eine .BAT-Datei, um die Wiederherstellung des infizierten Systems zu verhindern. Bevor Ryuk mit dem Verschlüsselungsprozess beginnt, versucht es, Windows VSS-Schattenkopien zu löschen.

Standardmäßig erstellt Windows bis zu 64 Schattenkopien von Volumes und Dateien, sodass Benutzer im Falle eines Datenverlusts oder einer Überschreibung Daten aus Snapshots zu verschiedenen Zeitpunkten wiederherstellen können. Ryuk beginnt jedoch damit, die Snapshots zu löschen und den Speicherplatz zu verkleinern, um jede Möglichkeit einer Wiederherstellung auszuschließen:

ryuk shadowstorage

Darüber hinaus versucht Ryuk, Dienste und Prozesse zu deaktivieren, darunter Datenbanken, Antiviren-Tools, Backups und mehr.

In der Demonstration von SentinelOne wird beispielsweise stellt Ryuk sicher, dass integrierte Backups nicht verfügbar sind, und deaktiviert außerdem mehrere Backup-Dienste von Drittanbietern, darunter Acronis, SQLSafe, VEEAM und Zoolz.

ryuk stopping backups

Ryuk versucht auch, Prozesse zu stoppen, die zu einigen älteren Antivirenprogrammen gehören, darunter Sophos und Symantec System Recovery. Sophos verdient besondere Aufmerksamkeit, wie diese Ansicht aus der SentinelOne Management Console zeigt:

ryuk deaktiviert sophos

Als Nächstes erstellt Ryuk AES-Schlüssel für die Dateien des Opfers, die dann mit einem zweiten RSA-Schlüssel erneut verschlüsselt werden. Dies betrifft jedes Laufwerk und jede Netzwerkfreigabe auf dem System, bevor die Malware schließlich in jedem Ordner auf dem System eine Textdatei mit dem Namen "RyukReadMe.txt" erstellt. Diese enthält die Lösegeldforderung.

Technische Analyse der Funktionalität der Ryuk-Ransomware

Ryuk-Ransomware-Dateien sind an ihren Dateiendungen .ryk oder .rcrypted. Eine verschlüsselte Datei würde dem folgenden Muster folgen: Dateiname.xls.ryk.

Ryuk verwendet ein dreistufiges Vertrauensverschlüsselungsmodell.

  • Stufe 1: Globales Schlüsselpaar im Besitz der Angreifer – dieser private Schlüssel wird nach Zahlung des Lösegelds offengelegt
  • Stufe 2: Opferspezifisches Schlüsselpaar – dieses wird während des Verschlüsselungsprozesses der Ransomware generiert
  • Stufe 3: Standard-AES-Schlüssel – dieser wird durch die Win32API-Funktion CryptGenKey generiert und anschließend in die Schlüsselpaare der Stufen 1 und 2 verschlüsselt

Ryuk-Angreifer nutzen verschlüsselte E-Mail-Dienste, um unter dem Radar zu bleiben, und ändern bei jedem Angriff ihre Adressen.

So entfernen Sie die Ryuk-Ransomware

Aufgrund der Komplexität von Ryuk sollte die Entfernung nur von erfahrenen IT-Teams durchgeführt werden.

Selbst wenn Sie Ryuk aus Ihrem Netzwerk entfernen können, bleiben Ihre Dateien weiterhin verschlüsselt. Nur die Angreifer verfügen über den Schlüssel zur Wiederherstellung der Daten.

Es ist möglich, Ryuk im abgesicherten Modus oder über die Systemwiederherstellung zu entfernen, aber idealerweise sollte der Schwerpunkt darauf liegen, einen Angriff zu verhindern, bevor kritische Daten in die Hände von Angreifern gelangen.

Jeder Mitarbeiter sollte sorgfältig auf Phishing-E-Mails achten. Klicken Sie nicht auf verdächtige Inhalte in Ihrem Posteingang. Am wichtigsten ist, dass Unternehmen ein geeignetes Cybersicherheitsprotokoll, eine Strategie und ein Schulungsprogramm einrichten.

Um Ihr Unternehmen vor Angriffen zu schützen, ist eine KI-gestützte Endpoint-Sicherheitsplattform , die Bedrohungen erkennt und verhindert. Moderne Cybersicherheitssoftware kann Bedrohungen auf der Grundlage fundierter Kenntnisse Ihrer Umgebung einstufen und priorisieren und eine gründliche Untersuchung durchführen, um Malware neu zu entwickeln.

Verbessern Sie Ihre Threat Intelligence

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Wie SentinelOne Ryuk verhindern kann

Ryuk Ransomware ist nach wie vor eine Bedrohung für namhafte Unternehmen. Dies gilt insbesondere, wenn Sie dem bestehenden Opferprofil entsprechen. Daher sollten Krankenhäuser und Gesundheitseinrichtungen Vorsicht walten lassen, um nicht Opfer dieser Bedrohung zu werden. SentinelOne bietet Abhilfemaßnahmen und Rollback-Funktionen, mit denen Sie Ihr Unternehmen vor Ryuk Ransomware und anderen komplexen Bedrohungen schützen können.

Wenn Sie in der Vergangenheit bereits Opfer eines Angriffs geworden sind, ist es unerlässlich, Ihre Cybersicherheit zu aktualisieren. SentinelOne bietet Ihnen Nachbesprechungen an, um zu ermitteln, was schiefgelaufen ist.

Unsere Software-Services bieten auch Analysen und Einblicke. Dies ist hilfreich, um besser zu verstehen, wie Sie Ihr Netzwerk am besten schützen und Bedrohungen erkennen können. Kontaktieren Sie uns noch heute für weitere Informationen.

"

Häufig gestellte Fragen zu Ryuk Ransomware

Ryuk ist eine gezielte Ransomware-Familie, die erstmals im August 2018 aufgetaucht ist. Sie wird von der russischen Cyberkriminellen-Gruppe WIZARD SPIDER betrieben und konzentriert sich auf "Big Game Hunting" – Angriffe auf große Organisationen, um maximalen finanziellen Gewinn zu erzielen. Im Gegensatz zu typischer Ransomware sind Ryuk-Angriffe manuell durchgeführt und hochentwickelt. Die Angreifer setzen die Ransomware nach umfangreichen Erkundungen und Netzwerk-Infiltrationen manuell ein.

Ryuk kann Netzlaufwerke verschlüsseln, Schattenkopien löschen und die Windows-Systemwiederherstellung deaktivieren, wodurch eine Wiederherstellung ohne externe Backups nahezu unmöglich wird.

Ryuk-Betreiber beginnen in der Regel mit Phishing-E-Mails, die bösartige Links oder Anhänge enthalten. Außerdem nutzen sie exponierte RDP-Verbindungen (Remote Desktop Protocol) durch Brute-Force-Angriffe aus. Sobald sie sich Zugang verschafft haben, setzen sie TrickBot- oder Emotet-Malware ein, um sich dauerhaft zu etablieren und Erkundungen durchzuführen.

Nachdem sie das Netzwerk kartiert und wertvolle Ressourcen identifiziert haben, verwenden die Angreifer Tools wie AdFind und Bloodhound, um ihre Berechtigungen zu erweitern. Schließlich setzen sie Ryuk manuell mit PowerShell, SMB und anderen Verwaltungstools im gesamten Netzwerk ein.

Unternehmen können Ryuk anhand mehrerer Indikatoren erkennen. Achten Sie auf ungewöhnliche Netzwerkscan-Aktivitäten, die auf die IP-Bereiche 10.0.0.0/8, 172.16.0.0/16 und 192.168.0.0/16 abzielen. Überwachen Sie verdächtige PowerShell-Ausführungen, Massen-Dateioperationen und Versuche, Volumenschattenkopien mit vssadmin.exe zu löschen.

Achten Sie auf das Vorhandensein von Dateien mit dem Namen "RyukReadMe.txt" und auf Prozesse, die versuchen, Antivirensoftware zu deaktivieren. Fortschrittliche Erkennungsplattformen wie SentinelOne können diese Verhaltensmuster identifizieren, bevor die Verschlüsselung beginnt.

Ryuk hängt in der Regel die Erweiterung .RYK an verschlüsselte Dateien an. Einige Varianten verwenden auch die Erweiterung .rycrypted. Alle verschlüsselten Dateien enthalten das Tag "HERMES", ein Überbleibsel seiner Mutter-Ransomware. Die Ransomware erstellt in jedem Ordner, der verschlüsselte Dateien enthält, eine Lösegeldforderung mit dem Namen "RyukReadMe.txt".

Diese Notizen enthalten keine Angaben zur Höhe des Lösegeldes, sondern E-Mail-Adressen, über die die Opfer Kontakt aufnehmen können. Ryuk vermeidet bewusst die Verschlüsselung bestimmter Dateitypen wie .exe und .dll, um die Funktionsfähigkeit der Systeme zu gewährleisten.

Ryuk zielt in erster Linie auf große Organisationen mit hohen Jahresumsätzen ab. Das FBI berichtet, dass Logistikunternehmen, Technologieunternehmen und kleine Gemeinden am häufigsten angegriffen werden. Besonders stark betroffen sind Organisationen im Gesundheitswesen, von denen Ende 2020 über 20 Krankenhäuser angegriffen wurden.

Weitere Ziele sind Regierungsbehörden, Bildungseinrichtungen, Produktionsunternehmen und Medienorganisationen wie Tribune Publishing. Die Angreifer von Ryuk recherchieren gezielt die finanzielle Situation potenzieller Opfer, um angemessene Lösegeldforderungen zu stellen.

Verwenden Sie Multi-Faktor-Authentifizierung und deaktivieren Sie unnötige RDP-Ports. Implementieren Sie Netzwerksegmentierung, um laterale Bewegungen zu verhindern, und sorgen Sie mit der 3-2-1-Methode für sichere Offline-Backups. Sie sollten außerdem erweiterte EDR-Lösungen (Extended Endpoint Detection and Response) wie SentinelOne Singularity XDR einsetzen. Führen Sie regelmäßige Mitarbeiterschulungen zum Erkennen von Phishing durch und halten Sie Pläne für die Reaktion auf Vorfälle bereit.

Halten Sie alle Systeme auf dem neuesten Stand, insbesondere netzwerkbezogene Dienste, und überwachen Sie sie auf Anzeichen für Kompromittierungen. Implementieren Sie eine Whitelist für Anwendungen und beschränken Sie Administratorrechte auf unbedingt erforderliche Mitarbeiter.

Erfahren Sie mehr über Intelligente Bedrohung

Wie kann man Cryptojacking verhindern?Intelligente Bedrohung

Wie kann man Cryptojacking verhindern?

Cryptojacking ist das illegale Schürfen von Kryptowährungen. Das Hauptmotiv ist Profit, aber im Gegensatz zu anderen Bedrohungen bleibt es vollständig verborgen und läuft im Hintergrund, sodass der Benutzer nichts davon bemerkt. Cryptojacking nutzt auch die Geräte anderer Personen auf unbefugte Weise. Die Opfer wissen nicht, dass ihre Smartphones, Server oder Tablets zum Schürfen von Kryptowährungen verwendet werden. In diesem Leitfaden erfahren Sie alles, was Sie über diese Angriffe wissen müssen und wie Sie Cryptojacking-Bedrohungen verhindern können. Was ist Cryptojacking? Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust. Anschließend übernimmt sie die Kontrolle über die Ressourcen des Systems und beginnt mit dem Mining von Kryptowährungen. Kryptowährungen sind digitales Geld oder virtuelle Währungen in Form von Tokens. Eine der beliebtesten Kryptowährungen ist Bitcoin, eine weitere ist Ethereum. Derzeit gibt es über 3000 weitere Kryptowährungen. Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust. Anschließend übernimmt sie die Kontrolle über die Ressourcen des Systems und beginnt mit dem Mining von Kryptowährungen. Alle Kryptowährungen werden in einer dezentralen Datenbank gespeichert und verteilt, die als Blockchain bekannt ist. Blockchain-Netzwerke werden regelmäßig aktualisiert und arbeiten zusammen, um Transaktionen zu verarbeiten. Komplexe mathematische Gleichungen werden verwendet, um Transaktionssätze durchzuführen und sie zu Blöcken zusammenzufassen. Alle Blöcke, alle Änderungen und alle Änderungen in jedem dieser Blöcke müssen von den Personen autorisiert werden, die Informationen darin teilen und speichern. Personen, die Rechenressourcen gegen Währung eintauschen, werden als Miner bezeichnet. Es gibt Teams von Minern, die spezielle Computeranlagen betreiben, um die erforderlichen Transaktionen zu verarbeiten. Miner benötigen eine enorme Rechenleistung, um die erforderlichen Transaktionen zu verarbeiten. Das Bitcoin-Netzwerk verbraucht derzeit mehr als 7373 TWh Energie pro Jahr. Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust und die Rechenleistung und Ressourcen von Blockchain-Netzwerken ausnutzt. Wie funktioniert Cryptojacking? Cryptojacker schürfen nach Kryptowährungen, ohne viel in Rechenleistung zu investieren, da sie keine teure Hardware oder hohe Stromrechnungen bezahlen möchten. Cryptojacking bietet Hackern eine Möglichkeit, Kryptowährungen zu erhalten, ohne hohe Kosten zu verursachen. Sie schürfen diese Währungen auf PCs, die schwer zu verfolgen sind. Die Bedrohung durch Cryptojacking hängt vom Auf- und Abschwung der Kryptowährungen ab. In den letzten Jahren sind die Cryptojacking-Vorfälle jedoch etwas zurückgegangen, da die Strafverfolgungsbehörden gegen die Verbreitung von Kryptowährungen vorgehen. CoinHive war eine Website, die mit Krypto-Minern zusammenarbeitete und kürzlich geschlossen wurde. Ihr Quellcode wurde häufig missbraucht, und das Mining-Skript konnte von Hackern ohne Wissen der Website-Betreiber in verschiedene Websites eingeschleust werden. Nach der Schließung gab es weiterhin Cryptojacking-Vorfälle. Cryptojacking erlebte einen starken Rückgang. Der Hauptgrund für Cryptojacking-Angriffe ist das schnelle Geld. Geld zu verdienen, ohne hohe Kosten zu verursachen, ist einer der größten Anreize. Um zu verstehen, wie Cryptojacking funktioniert, muss man wissen, dass Kryptowährungen mit verteilten Datenbanken arbeiten. Diese Datenbanken werden als Blockchains bezeichnet und jede Blockchain wird regelmäßig mit Daten über aktuelle Transaktionen aktualisiert. Jede Transaktion erfordert eine Aktualisierung, und jeder überträgt seine Aktualisierungen, wobei die aktuellen Transaktionen zu Blöcken zusammengefasst werden, die durch komplexe mathematische Prozesse festgelegt werden. Kryptowährungen müssen neue Blöcke erstellen, und Einzelpersonen müssen die dafür erforderliche Rechenleistung bereitstellen. Kryptowährungen werden auch an Miner vergeben, also an Personen, die dafür bekannt sind, die erforderliche Rechenleistung bereitzustellen. Große Teams von Minern betreiben möglicherweise spezielle Computeranlagen und tragen zu Prozessen bei, die enorme Mengen an Strom erfordern. Cryptojacker umgehen diese Anforderungen und versuchen, andere auszunutzen, die die Rechenleistung bereitstellen. Anzeichen dafür, dass Ihr System mit Cryptojacking-Malware infiziert sein könnte Obwohl Cryptojacking nicht so bösartig oder schädlich ist wie Ransomware, kann es nicht als geringfügige Cyber-Bedrohung abgetan werden. Cryptojacking kann Unternehmen und Opfern sowohl direkte als auch indirekte Verluste verursachen. Die Opfer zahlen mehr als erwartet für die Bereitstellung ihrer Rechenleistung. Sie merken nicht, dass ihre Ressourcen von anderen genutzt werden. Cryptojacking-Angriffe können monatelang oder jahrelang unentdeckt bleiben, wodurch sich der Preis erhöhen kann. Um ihre wahre Herkunft oder versteckte Kosten zu ermitteln. Heutzutage gibt es auch mobile Mining-Malware, die sich über die Akkus infizierter Geräte ausbreiten und Telefone so stark beeinträchtigen kann, dass sie physisch deformiert werden. Wenn Sie böswillig nach Kryptowährungen schürfen, belastet dies Ihre Mobiltelefone, und die Akkus infizierter Geräte können sich so stark ausdehnen, dass die Telefone physisch deformiert werden. Das Problem der verschwendeten Bandbreite kann die Effizienz und Geschwindigkeit von Rechenaufgaben verringern. Cryptojacking-Malware kann Leistungsprobleme verursachen und unmittelbare Auswirkungen auf Kunden und Geschäftsabläufe haben. Auch Endbenutzer sind betroffen, und Ihre Mitarbeiter können möglicherweise in Zeiten, in denen sie sie benötigen, nicht auf wichtige Daten zugreifen. Cryptojacking-Angriffe können als Ablenkungsmanöver für groß angelegte Angriffe wie Ransomware oder mehrstufige Erpressungsversuche genutzt werden. Sie können Ihre Benutzer in die Irre führen und sie von den ernsteren Bedrohungen ablenken. Diese Angriffe können mit Virenangriffen kombiniert werden, um die Opfer mit Werbung zu bombardieren, oder mit Scareware-Taktiken, damit sie am Ende Lösegeld zahlen. Die meisten Cryptojacking-Angriffe sind finanziell motiviert, aber ihr eigentliches Ziel könnte darin bestehen, infizierte Systeme zu überlasten und physische Schäden zu vergrößern. So funktionieren Cryptojacking-Angriffe: Cryptojacking beginnt in erster Linie damit, dass versucht wird, das Opfer dazu zu bewegen, einen Crypto-Mining-Code auf sein Gerät zu laden. Der Hacker kann Social Engineering, Phishing oder ähnliche Methoden einsetzen, um das Opfer dazu zu bewegen, auf Links zu klicken und diese zu aktivieren. Wenn ein Benutzer mit der E-Mail interagiert und auf den bösartigen Code klickt, wird das Skript für das Crypto-Mining auf dem Gerät ausgeführt und läuft im Hintergrund. Die zweite Methode des Cryptojackings besteht darin, den Code in das Gerät einzuschleusen, wo er im Hintergrund von Websites oder als Werbung ausgeführt wird. Wenn ein Opfer diese Websites öffnet oder auf die angezeigten Werbeanzeigen klickt, wird das Cryptojacking-Skript automatisch ausgeführt. Die Ergebnisse des Skripts werden an einen Server gesendet, der direkt vom Hacker kontrolliert wird. Hybride Cryptojacking-Angriffe können beide Strategien kombinieren und die Wirksamkeit von browserbasierten Cryptojacking-Angriffen erhöhen. Einige Crypto-Mining-Skripte können sich ihren Weg bahnen und andere Server und Geräte in den Zielnetzwerken infizieren. Bewährte Methoden zur Verhinderung von Cryptojacking-Angriffen Eine der besten Möglichkeiten, Cryptojacking-Angriffe zu verhindern, besteht darin, Ihr IT-Team über potenzielle Fallstricke und deren Erkennung zu informieren. Es sollte die ersten Anzeichen und Phasen eines Cryptojacking-Angriffs kennen und in der Lage sein, alle Phasen des Lebenszyklus eines Cryptojacking-Angriffs zu identifizieren. Sie sollten auch sicherstellen, dass es darauf vorbereitet ist, sofort zu reagieren und selbst weitere Untersuchungen durchzuführen. Ihre Mitarbeiter sollten darin geschult werden, Anzeichen wie ungewöhnliches Verhalten oder Überhitzung von Computersystemen zu erkennen. Sie sollten wissen, dass sie nicht auf verdächtige Links und bösartige Anhänge in E-Mails klicken und nur Dateien aus vertrauenswürdigen und verifizierten Quellen herunterladen dürfen. Ihr Unternehmen sollte außerdem Anti-Crypto-Mining-Erweiterungen installieren, um Cryptojacking-Skripte automatisch zu blockieren, wenn Ihre Benutzer verschiedene Websites über den Webbrowser besuchen. Es gibt viele Browser-Erweiterungen, die Krypto-Miner im World Wide Web blockieren können. Sie können auch Werbeblocker verwenden, um die Ausführung von Cryptojacking-Skripten zu verhindern. Deaktivieren Sie JavaScript, wenn Sie im Internet surfen, um zu verhindern, dass Cryptojacking-Code eingeschleust wird. Durch die Deaktivierung von JavaScript werden automatisch einige Funktionen blockiert, die beim Surfen im Internet benötigt werden. Dies sollten Sie berücksichtigen. Wie kann man Cryptojacking-Malware erkennen und entfernen? Das offensichtlichste Anzeichen dafür, dass Ihr Gerät von einem Cryptojacking-Angriff infiziert wurde, ist die Abweichung vom normalen Verhalten. Ihre Systeme können unter Leistungsabfall und langsameren Verarbeitungszeiten leiden und unerwartet abstürzen. Ein weiteres Anzeichen ist, dass der Akku viel schneller als normalerweise verbraucht wird. Ressourcenintensive Prozesse können zu einer Überhitzung der Systeme führen und Ihre Computer beschädigen. Sie können die Lebensdauer Ihrer Geräte verkürzen, und Cryptojacking-Skripte sind dafür bekannt, dass sie Websites überlasten. Die CPU-Auslastung steigt auch dann, wenn es wenig bis gar keine Medieninhalte gibt, also auf den Websites, die Sie besuchen. Das ist ein klares Anzeichen dafür, dass im Hintergrund ein Cryptojacking-Skript ausgeführt wird. Sie können einen Test durchführen, um die CPU-Auslastung auf dem Gerät zu überprüfen, indem Sie den Task-Manager oder das Tool zur Aktivitätsüberwachung verwenden. Der Nachteil dieser Erkennung ist jedoch, dass Ihr Computer, wenn er bereits mit maximaler Kapazität läuft, langsam werden könnte. Wenn das Skript also im Hintergrund läuft, ist es in einem solchen Fall schwierig, Fehler zu beheben und mehr darüber herauszufinden. Beispiele für Cryptojacking-Angriffe aus der Praxis Die USAID wurde kürzlich Opfer eines Passwort-Spray-Angriffs, der sie rund 500.000 US-Dollar an Microsoft-Servicegebühren gekostet hat. Cryptojacking über CVE-2023-22527 hatte ein vollwertiges Crypto-Mining-Ökosystem zerlegt. Die kritische Schwachstelle hatte Auswirkungen auf die betroffenen Umgebungen, und die Angreifer hatten Methoden wie den Einsatz von Shell-Skripten und XMRig-Minern verwendet. Sie zielten auf SSH-Endpunkte ab, beendeten konkurrierende Krypto-Mining-Prozesse und sorgten über Cron-Jobs für Persistenz. Ein weiteres Beispiel für einen Cryptojacking-Angriff in der Praxis ist der Fall von TripleStrength und wie dieser die Cloud traf. Der Angreifer hatte auf gekaperten Cloud-Ressourcen Mining-Aktivitäten durchgeführt und Ransomware-Aktivitäten durchgeführt. Er führte eine Dreifachkampagne aus, die Ransomware, Erpressung und Cryptocurrency-Mining umfasste. Fazit Cryptojacking ist eine kontinuierliche und sich weiterentwickelnde Bedrohung, die Ihre Ressourcen unbemerkt ausbeuten und die Systemleistung beeinträchtigen kann. Wir haben aufgezeigt, dass proaktive Maßnahmen wie Mitarbeiterschulungen, wachsame Überwachung und robuste Sicherheitslösungen erforderlich sind, um diese verdeckten Angriffe zu bekämpfen. Mit einem Verständnis der Angriffsvektoren und der Implementierung praktischer Lösungen können Unternehmen Risiken minimieren und die Betriebsintegrität aufrechterhalten. Lassen Sie Cyberkriminelle Ihre Systeme nicht ausnutzen – handeln Sie noch heute und schützen Sie Ihr Netzwerk mit fachkundiger Beratung. Kontaktieren Sie SentinelOne noch heute, um Ihre Cybersicherheitsmaßnahmen zu verstärken."

Mehr lesen
Was sind Darknets und Dark Markets?Intelligente Bedrohung

Was sind Darknets und Dark Markets?

Darknets und Dark Markets erleichtern illegale Aktivitäten im Internet. Erfahren Sie, wie sie funktionieren und welche Auswirkungen sie auf die Cybersicherheit haben.

Mehr lesen
Wie lassen sich Social-Engineering-Angriffe verhindern?Intelligente Bedrohung

Wie lassen sich Social-Engineering-Angriffe verhindern?

Fallen Sie nicht auf die neuesten Scareware-, Spamware- und Betrugsmaschen herein. Informieren Sie sich darüber, wie Sie Social-Engineering-Angriffe verhindern können, wie diese funktionieren, und ergreifen Sie Maßnahmen, um Bedrohungen zu bekämpfen und zu isolieren.

Mehr lesen
Wie kann man Datenexfiltration verhindern?Intelligente Bedrohung

Wie kann man Datenexfiltration verhindern?

Datenexfiltration ist eine der schlimmsten Möglichkeiten, wie Sie dem Geschäft und dem Ruf Ihres Unternehmens schaden können. Verstehen Sie, wie Sie Datenexfiltration verhindern können, wie sie zustande kommt und wie Sie damit umgehen können.

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern