Britse overheid geeft waarschuwing voor Ryuk-ransomware

[Captain Kirk]

De Britse overheid heeft een waarschuwing voor de Ryuk-ransomware gegeven die bij gerichte aanvallen tegen bedrijven en organisaties wordt ingezet. Verschillende Amerikaanse overheidsinstanties en gemeenten werden eerder al door de ransomware getroffen en zagen zich gedwongen om te betalen.

Zo betaalde een Amerikaans district 400.000 dollar losgeld om versleutelde bestanden ontsleuteld te krijgen. Het Britse National Cyber Security Centre (NCSC) doet onderzoek naar campagnes waarbij de ransomware is ingezet. Volgens het NCSC wordt de ransomware pas dagen of zelfs maanden na de initiële infectie bij het slachtoffer geïnstalleerd. De aanvallers gebruiken deze tijd om het netwerk te verkennen en belangrijke systemen te zoeken, zodat de aanval een maximale impact heeft.

Dit biedt echter ook kansen om de organisatiebrede installatie van de ransomware te voorkomen als de initiële infectie wordt gedetecteerd en verholpen. Ryuk is in verband gebracht met andere malware, zoals Emotet en Trickbot. Deze malware kan Ryuk op systemen installeren. De installer van de ransomware probeert bepaalde antivirussoftware te stoppen en installeert vervolgens de juiste versie van Ryuk, afhankelijk van de systeemarchitectuur, aldus het NCSC.

Om infectie door Ryuk en andere malware te voorkomen adviseert het NCSC om systemen up-to-date te houden, applicaties te whitelisten, antivirussoftware te gebruiken, netwerkscheiding toe te passen, URI-reputatiediensten te gebruiken en ervoor zorgen dat remote management interfaces die RDP gebruiken alleen vanuit een privaat netwerk toegankelijk zijn, waarbij er een VPN wordt gebruikt om het netwerk op afstand te benaderen (pdf).

 

 

bron: security.nl