Analyse von Memory Dumps ergeben
18.12.2019, 09:04 Uhr
Ransomware Ryuk könnte hinter Cyberattacke auf New Orleans stecken
Eine Anlyse von Memory Dumps von Programmen, die auf Rechnern von New Orleans ausgeführt wurden, haben ergeben, dass die Ransomware Ryuk hinter der verheerenden Cyberattacke stecken könnte.
Die Ransomware Ryuk könnte hinter der Cyberattacke auf New Orleans stecken
(Quelle: Oliver Weidmann/Pixabay)
New Orleans ist das Opfer einer massiven Cyberattacke geworden (Computerworld berichtete). Nun haben IT-Forensiker erste Ergebnisse über die möglichen Ursachen des Angriffs präsentiert. Demnach lassen Dateien, die dem Scanning-Dienst VirusTotal zur Verfügung gestellt wurden, darauf schliessen, dass die Ramsomware Ryuk eine wichtige Rolle gespielt haben muss.
Konkret wurden Memory Dumps von verdächtigen Programmen von einer US-amerikanischen IP-Adresse auf VirusTotal hochgeladen. Eine dieser Speicherauszüge wurde später von Colin Cowie von Red Flare Security entdeckt und analysiert. Offenbar enthielt der Dump des Programms «yoletby.exe» zahlreiche Referenzen zu New Orleans und zur Ransomware Ryuk.
Eine weiterer Memory Dump, der zu einem Programm «v2.exe» gehörte, der auf einem Computer des Rathauses von New Orleans lief und ebenfalls auf VirusTotal hochgeladen worden war, wurde von BleepingComputer genauer untersucht. Auch hier wurden Hinweise auf Ryuk gefunden.
Emotet und Trickbot ebenfalls präsent
Wenn die Rechner der Stadt New Orleans von Ryuk verschlüsselt wurden, besteht gemäss BleepingComputer eine hohe Wahrscheinlichkeit, dass auch Infektionen durch die beiden Online-Banking-Trojaner Emotet und Trickbot vorliegen dürften. Beide werden mittlerweile auch für die Verbreitung weiterer Malware und für Spam-Kampagnen mit infizierten Anhängen verwendet.
Wie BleepingComputer weiter berichtet, würden Emotet und Trickbot in diesem Fall die PC der Opfer ausspionieren. Diese Infos lassen sich dann von Ryuk-Hackern für die Ransomware-Angriffe nutzen.
New Orleans muss somit nicht nur die Auswirkungen der Ransomware-Attacke beseitigen. Die städtischen IT-Beauftragten können auch davon ausgehen, dass ihre Systeme eine gute Zeit lang ausspioniert worden sind.