Meldung

Egregor-Ransomware trotz Verhaftungen aktiv

Trotz Verhaftungen mehrerer Personen aus dem Umfeld der Egregor-Bande im Februar, ist das Ransomware-as-a-Service-Modell weiterhin aktiv. Das Incident Response Team von Varonis Systems konnte in den letzten Wochen und Monaten weltweit mehrere entsprechende Kampagnen identifizieren.
Die Ransomware-Kampagne Egregor ist weiterhin aktiv.
So wurde beispielsweise ein britisches Immobilienbüro von einer Egregor-Variante angegriffen und dabei persönliche Kundendaten, wie etwa Kreditkarteninformationen, entwendet. Diese tauchten später im Dark Web auf. Einem US-amerikanischen Logistik-Unternehmen wurde von einer Hackergruppe, die vermutlich in Verbindung zu Egregor steht, mit der Veröffentlichung interner und vertraulicher Dateien gedroht.

Zahlreiche Security-Experten gehen davon aus, dass Egregor der Nachfolger von der berüchtigten Maze-Gruppe ist, die sich im Oktober 2020 zurückgezogen hat. Die Egregor-Ransomware ist eine Modifikation sowohl der Sekhmet- als auch der Maze-Ransomware: Zwischen allen drei Malware-Varianten gibt es gewisse Ähnlichkeiten im Code. Zudem zielen auch alle drei auf dieselbe Art von Opferunternehmen ab.

Egregor arbeitet als "Ransomware as a Service" (RaaS): Kriminelle können bestimmte Varianten der Malware nutzen, die speziell für sie oder gezielt für einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug erhält die Egregor-Gruppe einen gewissen Anteil an den Gewinnen der Attacken. Egregor setzt dabei auf "Double Extortion": Die Cyberkriminellen dringen in die Netzwerke der Opfer ein, exfiltrieren Daten, die sich auf den kompromittierten Geräten und Servern befinden, und verschlüsseln die Dateien in den Opfersystemen. Auf diese Weise sind sie in der Lage, auch mit der Veröffentlichung der Daten zu drohen, um den Druck auf die Opfer noch weiter zu erhöhen.

In der Regel wird dabei auch ein Teil der exfiltrierten Daten auf ihrer Website (die im Dark Web gehostet wird) als Beweis veröffentlicht. Zu den bekanntesten Opfern von Egregor zählen das größte US-amerikanische Buchhandelsunternehmen Barnes & Noble, die Videospiel-Entwickler Ubisoft und Crytek sowie der Personaldienstleister Randstad.

Die Malware unter der Lupe
Auf Anfrage eines Kunden analysierte das Varonis [1] Forensics-Team eine Probe der Egregor-Malware. In diesem speziellen Fall wurde die Malware durch ein PowerShell-Skript ausgeliefert. Das PS-Skript sucht zunächst nach einer McAfee-exe-Datei, um das Produkt zu deinstallieren. Dadurch wird ein potenziell wichtiges Abwehrwerkzeug deaktiviert, das die Aktivierung der Ransomware verhindern könnte.

Die Malware schläft dann für 60 Sekunden. Dasselbe PS-Skript lädt dann eine DLL von einer bösartigen IP-Adresse herunter, speichert sie unter dem Pfad "C:\Users\Public\Pictures", aktiviert sie als "rundll32.exe" und verwendet dabei bestimmte Funktionen innerhalb der DLL.

Mithilfe mehrerer Bibliotheken, darunter auch der Microsoft-DLL CRYPTSP.DLL, die sich unter dem Pfad "C:\Windows\System32" befindet, verschlüsselt die Malware Dateien, die sie auf dem Gerät des Opfers findet, und hängt an jede verschlüsselte Datei eine pseudozufällige Erweiterung an. Die Malware erstellt dann in jedem Ordner, in dem sie Dateien verschlüsselt hat, eine Lösegeldnotiz mit Anweisungen, wie das Lösegeld zu zahlen ist und die Dateien entschlüsselt werden können.
22.04.2021/dr

Tipps & Tools

Download der Woche: SterJo NetStalker [5.05.2021]

Es gibt zahlreiche Maßnahmen, um die Sicherheit für Internet-Rechner zu fördern. Grundsätzlich gilt gerade für professionelle Anwender, dass sie zunächst wissen sollten, was auf dem PC nach außen geöffnet ist. Das kostenfreie Tool "NetStalker" hilft dabei, genau diese Details zu sehen und zu analysieren. Neben der Überwachung der Programme, die auf das Internet zugreifen, können Sie diese Verbindungen bei Bedarf auch blockieren. [mehr]

BITKOM kritisiert IT-Sicherheitsgesetz 2.0 scharf [4.05.2021]

Das kürzlich verabschiedete IT-Sicherheitsgesetz 2.0 stößt beim IT-Branchenverband auf überwiegend negative Resonanz. Es nehme Kollateralschäden in Kauf, kritisiert die BITKOM unter anderem. So bemängelt der Verband die Ausweitung des Kreises jener Unternehmen, die besonders hohe IT-Sicherheitsanforderungen erfüllen müssen. [mehr]

Fachartikel

Advertorial: E-Book OPNsense – Mehr als eine Firewall [30.04.2021]

Als leicht bedienbare Security-Plattform findet die Open Source Firewall OPNsense in immer mehr Unternehmen Anwendung. Aber OPNsense punktet nicht nur durch hohe Zugänglichkeit und den Wegfall von Lizenzkosten: Dank seines modularen Aufbaus integriert es die besten Open-Source-Sicherheitslösungen unter einer einheitlichen Oberfläche und überzeugt so mit einem Funktionsumfang, der viele kostenpflichtige Lösungen übertrifft. Im neuen E-Book "OPNsense – Mehr als eine Firewall" der Thomas-Krenn.AG und ihrem Partner m.a.x. it finden Sie alle Informationen zum Einstieg in OPNsense und für die Grundabsicherung eines Unternehmensnetzes. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen