von Redaktion IT-A…
Lesezeit
1 Minute
Egregor-Ransomware trotz Verhaftungen aktiv
Trotz Verhaftungen mehrerer Personen aus dem Umfeld der Egregor-Bande im Februar, ist das Ransomware-as-a-Service-Modell weiterhin aktiv. Das Incident Response Team von Varonis Systems konnte in den letzten Wochen und Monaten weltweit mehrere entsprechende Kampagnen identifizieren.
So wurde beispielsweise ein britisches Immobilienbüro von einer Egregor-Variante angegriffen und dabei persönliche Kundendaten, wie etwa Kreditkarteninformationen, entwendet. Diese tauchten später im Dark Web auf. Einem US-amerikanischen Logistik-Unternehmen wurde von einer Hackergruppe, die vermutlich in Verbindung zu Egregor steht, mit der Veröffentlichung interner und vertraulicher Dateien gedroht.
Zahlreiche Security-Experten gehen davon aus, dass Egregor der Nachfolger von der berüchtigten Maze-Gruppe ist, die sich im Oktober 2020 zurückgezogen hat. Die Egregor-Ransomware ist eine Modifikation sowohl der Sekhmet- als auch der Maze-Ransomware: Zwischen allen drei Malware-Varianten gibt es gewisse Ähnlichkeiten im Code. Zudem zielen auch alle drei auf dieselbe Art von Opferunternehmen ab.
Egregor arbeitet als "Ransomware as a Service" (RaaS): Kriminelle können bestimmte Varianten der Malware nutzen, die speziell für sie oder gezielt für einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug erhält die Egregor-Gruppe einen gewissen Anteil an den Gewinnen der Attacken. Egregor setzt dabei auf "Double Extortion": Die Cyberkriminellen dringen in die Netzwerke der Opfer ein, exfiltrieren Daten, die sich auf den kompromittierten Geräten und Servern befinden, und verschlüsseln die Dateien in den Opfersystemen. Auf diese Weise sind sie in der Lage, auch mit der Veröffentlichung der Daten zu drohen, um den Druck auf die Opfer noch weiter zu erhöhen.
In der Regel wird dabei auch ein Teil der exfiltrierten Daten auf ihrer Website (die im Dark Web gehostet wird) als Beweis veröffentlicht. Zu den bekanntesten Opfern von Egregor zählen das größte US-amerikanische Buchhandelsunternehmen Barnes & Noble, die Videospiel-Entwickler Ubisoft und Crytek sowie der Personaldienstleister Randstad.
Die Malware unter der Lupe
Auf Anfrage eines Kunden analysierte das Varonis [1] Forensics-Team eine Probe der Egregor-Malware. In diesem speziellen Fall wurde die Malware durch ein PowerShell-Skript ausgeliefert. Das PS-Skript sucht zunächst nach einer McAfee-exe-Datei, um das Produkt zu deinstallieren. Dadurch wird ein potenziell wichtiges Abwehrwerkzeug deaktiviert, das die Aktivierung der Ransomware verhindern könnte.
Die Malware schläft dann für 60 Sekunden. Dasselbe PS-Skript lädt dann eine DLL von einer bösartigen IP-Adresse herunter, speichert sie unter dem Pfad "C:\Users\Public\Pictures", aktiviert sie als "rundll32.exe" und verwendet dabei bestimmte Funktionen innerhalb der DLL.
Mithilfe mehrerer Bibliotheken, darunter auch der Microsoft-DLL CRYPTSP.DLL, die sich unter dem Pfad "C:\Windows\System32" befindet, verschlüsselt die Malware Dateien, die sie auf dem Gerät des Opfers findet, und hängt an jede verschlüsselte Datei eine pseudozufällige Erweiterung an. Die Malware erstellt dann in jedem Ordner, in dem sie Dateien verschlüsselt hat, eine Lösegeldnotiz mit Anweisungen, wie das Lösegeld zu zahlen ist und die Dateien entschlüsselt werden können.
dr
[1] http://www.varonis.de/
Zahlreiche Security-Experten gehen davon aus, dass Egregor der Nachfolger von der berüchtigten Maze-Gruppe ist, die sich im Oktober 2020 zurückgezogen hat. Die Egregor-Ransomware ist eine Modifikation sowohl der Sekhmet- als auch der Maze-Ransomware: Zwischen allen drei Malware-Varianten gibt es gewisse Ähnlichkeiten im Code. Zudem zielen auch alle drei auf dieselbe Art von Opferunternehmen ab.
Egregor arbeitet als "Ransomware as a Service" (RaaS): Kriminelle können bestimmte Varianten der Malware nutzen, die speziell für sie oder gezielt für einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug erhält die Egregor-Gruppe einen gewissen Anteil an den Gewinnen der Attacken. Egregor setzt dabei auf "Double Extortion": Die Cyberkriminellen dringen in die Netzwerke der Opfer ein, exfiltrieren Daten, die sich auf den kompromittierten Geräten und Servern befinden, und verschlüsseln die Dateien in den Opfersystemen. Auf diese Weise sind sie in der Lage, auch mit der Veröffentlichung der Daten zu drohen, um den Druck auf die Opfer noch weiter zu erhöhen.
In der Regel wird dabei auch ein Teil der exfiltrierten Daten auf ihrer Website (die im Dark Web gehostet wird) als Beweis veröffentlicht. Zu den bekanntesten Opfern von Egregor zählen das größte US-amerikanische Buchhandelsunternehmen Barnes & Noble, die Videospiel-Entwickler Ubisoft und Crytek sowie der Personaldienstleister Randstad.
Die Malware unter der Lupe
Auf Anfrage eines Kunden analysierte das Varonis [1] Forensics-Team eine Probe der Egregor-Malware. In diesem speziellen Fall wurde die Malware durch ein PowerShell-Skript ausgeliefert. Das PS-Skript sucht zunächst nach einer McAfee-exe-Datei, um das Produkt zu deinstallieren. Dadurch wird ein potenziell wichtiges Abwehrwerkzeug deaktiviert, das die Aktivierung der Ransomware verhindern könnte.
Die Malware schläft dann für 60 Sekunden. Dasselbe PS-Skript lädt dann eine DLL von einer bösartigen IP-Adresse herunter, speichert sie unter dem Pfad "C:\Users\Public\Pictures", aktiviert sie als "rundll32.exe" und verwendet dabei bestimmte Funktionen innerhalb der DLL.
Mithilfe mehrerer Bibliotheken, darunter auch der Microsoft-DLL CRYPTSP.DLL, die sich unter dem Pfad "C:\Windows\System32" befindet, verschlüsselt die Malware Dateien, die sie auf dem Gerät des Opfers findet, und hängt an jede verschlüsselte Datei eine pseudozufällige Erweiterung an. Die Malware erstellt dann in jedem Ordner, in dem sie Dateien verschlüsselt hat, eine Lösegeldnotiz mit Anweisungen, wie das Lösegeld zu zahlen ist und die Dateien entschlüsselt werden können.
dr
[1] http://www.varonis.de/