Varonis warnt – die Ransomware-as-a-Service Egregor ist weiterhin sehr aktiv

Trotz Verhaftungen mehrerer Personen aus dem Umfeld der Egregor-Bande im Februar, ist das Ransomware-as-a-Service-Modell weiterhin aktiv. Das Incident-Response-Team (IRT) von Varonis konnte in den letzten Wochen und Monaten weltweit mehrere entsprechende Kampagnen identifizieren. So wurde beispielsweise ein britisches Immobilienbüro von einer Egregor-Variante angegriffen und dabei persönliche Kundendaten, wie Kreditkarteninformationen, entwendet. Diese tauchten später im Dark-Web auf. Einem US-amerikanischen Logistik-Unternehmen wurde von einer Hackergruppe, die vermutlich in Verbindung zu Egregor steht, mit der Veröffentlichung interner und vertraulicher Dateien gedroht.

Zahlreiche Security-Experten gehen davon aus, dass Egregor der Nachfolger von der berüchtigten Maze-Gruppe ist, die sich im Oktober 2020 zurückgezogen hat. Die Egregor-Ransomware ist eine Modifikation sowohl der Sekhmet- als auch der Maze-Ransomware: Zwischen allen drei Malware-Varianten gibt es gewisse Ähnlichkeiten im Code. Zudem zielen auch alle drei auf dieselbe Art von Opferunternehmen ab. Egregor arbeitet dabei als „Ransomware as a Service“ (RaaS): Kriminelle können bestimmte Varianten der Malware nutzen, die speziell für sie oder gezielt für einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug erhält die Egregor-Gruppe einen gewissen Anteil an den Gewinnen der Attacken.

Egregor setzt dabei auf „Double Extortion“: Die Cyberkriminellen dringen in die Netzwerke der Opfer ein, exfiltrieren Daten, die sich auf den kompromittierten Geräten und Servern befinden, und verschlüsseln die Dateien in den Opfersystemen. Auf diese Weise sind sie in der Lage, auch mit der Veröffentlichung der Daten zu drohen, um den Druck auf die Opfer noch weiter zu erhöhen. In der Regel wird dabei auch ein Teil der exfiltrierten Daten auf ihrer Website (die im Dark-Web gehostet wird) „als Beweis“ veröffentlicht. Zu den bekanntesten Opfern von Egregor zählen das größte US-amerikanische Buchhandelsunternehmen Barnes & Noble, die Videospiel-Entwickler Ubisoft und Crytek sowie der Personaldienstleister Randstad.

 

Die Malware unter der Lupe

Auf Anfrage eines Kunden analysierte das Varonis-Forensics-Team eine Probe der Egregor-Malware. In diesem speziellen Fall wurde die Malware durch ein PowerShell-Skript ausgeliefert. Das PS-Skript sucht zunächst nach einer McAfee-exe-Datei, um das Produkt zu deinstallieren. Dadurch wird ein potenziell wichtiges Abwehrwerkzeug deaktiviert, das die Aktivierung der Ransomware verhindern könnte. Die Malware schläft dann für 60 Sekunden. Dasselbe PS-Skript lädt dann eine DLL von einer bösartigen IP-Adresse herunter, speichert sie unter dem Pfad „C:\Users\Public\Pictures“, aktiviert sie als „rundll32.exe“ und verwendet dabei bestimmte Funktionen innerhalb der DLL. Mithilfe mehrerer Bibliotheken, darunter auch der Microsoft-DLL CRYPTSP.DLL, die sich unter dem Pfad „C:\Windows\System32“ befindet, verschlüsselt die Malware Dateien, die sie auf dem Gerät des Opfers findet, und hängt an jede verschlüsselte Datei eine pseudozufällige Erweiterung an. Die Malware erstellt dann in jedem Ordner, in dem sie Dateien verschlüsselt hat, eine Lösegeldnotiz mit Anweisungen, wie das Lösegeld zu zahlen ist und die Dateien entschlüsselt werden können.

 

Tipps zum Schutz vor Malware

  • Halten Sie Ihre Antiviren- und Endpunktschutzsoftware stets auf dem neuesten Stand: Angreifer nutzen oft Schwachstellen in Software und Betriebssystemen aus, um sich lateral in Unternehmen zu bewegen und Daten zu stehlen. Die Aktualisierung mit Patches reduziert das Risiko von Bedrohungen erheblich.
  • Sensibilisieren Sie Ihre Mitarbeiter für Cyberrisiken: Dies gilt insbesondere auch für Phishing-Mails, die nach wie vor der beliebteste Angriffsweg für zahlreiche Angriffe, etwa Ransomware, ist.
  • Setzen Sie auf ein Zero-Trust/Least-Privilege-Modell: Die Begrenzung der Zugriffe nach dem „need-to-know“-Prinzip, bei dem Mitarbeiter nur auf die Daten zugreifen können, die sie auch tatsächlich für ihre Arbeit benötigen, reduziert das Risiko und den potenziellen Schaden auf das Minimum.
  • Überwachen Sie abnormale Datenzugriffe. Ein Angreifer wird höchstwahrscheinlich versuchen, sensible Daten aus dem Unternehmen zu exfiltrieren oder Daten zu verschlüsseln. Durch die intelligente Analyse des Nutzerverhaltens (UBA) kann abnormales Verhalten identifiziert und automatisiert gestoppt werden.
  • Überwachen Sie den Netzwerkverkehr. Durch die Verwendung einer Firewall oder eines Proxys ist es möglich, bösartige Kommunikation mit C&C-Servern zu erkennen und zu blockieren, so dass der Angreifer keine Befehle ausführen oder Daten extrahieren kann.
  • Halten Sie einen Incident-Response-Plan bereit. Erstellen Sie für die wahrscheinlichsten Angriffe Notfall- und Reaktionspläne, um im Schadensfall effektiv und ruhig reagieren zu können. Vergessen Sie nicht, die Pläne regelmäßig zu überprüfen und zu testen.
  • Lassen Sie sich helfen: Wenn Sie Grund zu der Annahme haben, dass Sie von Egregor oder einer anderen Gruppe angegriffen wurden, können Sie sich an das Varonis Incident Response Team Dort erhalten Sie profunde Hilfe bei der Abwehr und Forensik. Dabei spielt es keine Rolle, ob Sie Varonis-Kunde sind.

#Varonis