![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Eigentlich hatte ich gehofft, dass die Egregor-Gang Geschichte sei. Aber trotz Verhaftungen mehrerer Personen aus dem Umfeld der Egregor-Bande im Februar 2021, ist das Ransomware-as-a-Service-Modell weiterhin aktiv. Das meldete das Incident Response Team (IRT) von Varonis Systems. Denn es konnte in den letzten Wochen und Monaten weltweit mehrere entsprechende Kampagnen identifizieren.<\/p>\n
<\/p>\n
So wurde beispielsweise ein britisches Immobilienb\u00fcro von einer Egregor-Variante angegriffen und dabei pers\u00f6nliche Kundendaten, wie z. B. Kreditkarteninformationen, entwendet. Diese tauchten sp\u00e4ter im Dark Web auf. Einem US-amerikanischen Logistik-Unternehmen wurde von einer Hackergruppe, die vermutlich in Verbindung zu Egregor steht, mit der Ver\u00f6ffentlichung interner und vertraulicher Dateien gedroht.<\/p>\n
Zahlreiche Security-Experten gehen davon aus, dass Egregor der Nachfolger von der ber\u00fcchtigten Maze-Gruppe ist, die sich im Oktober 2020 zur\u00fcckgezogen hat. Die Egregor-Ransomware ist eine Modifikation sowohl der Sekhmet- als auch der Maze-Ransomware: Zwischen allen drei Malware-Varianten gibt es gewisse \u00c4hnlichkeiten im Code. Zudem zielen auch alle drei auf dieselbe Art von Opferunternehmen ab.<\/p>\n
Egregor arbeitet dabei als \u201eRansomware as a Service\" (RaaS): Kriminelle k\u00f6nnen bestimmte Varianten der Malware nutzen, die speziell f\u00fcr sie oder gezielt f\u00fcr einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug erh\u00e4lt die Egregor-Gruppe einen gewissen Anteil an den Gewinnen der Attacken.<\/p>\n
Egregor setzt dabei auf \u201eDouble Extortion\": Die Cyberkriminellen dringen in die Netzwerke der Opfer ein, exfiltrieren Daten, die sich auf den kompromittierten Ger\u00e4ten und Servern befinden, und verschl\u00fcsseln die Dateien in den Opfersystemen. Auf diese Weise sind sie in der Lage, auch mit der Ver\u00f6ffentlichung der Daten zu drohen, um den Druck auf die Opfer noch weiter zu erh\u00f6hen.<\/p>\n
In der Regel wird dabei auch ein Teil der exfiltrierten Daten auf ihrer Website (die im Dark Web gehostet wird) \u201eals Beweis\" ver\u00f6ffentlicht. Zu den bekanntesten Opfern von Egregor z\u00e4hlen das gr\u00f6\u00dfte US-amerikanische Buchhandelsunternehmen Barnes & Noble, die Videospiel-Entwickler Ubisoft und Crytek sowie der Personaldienstleister Randstad.<\/p>\n
Auf Anfrage eines Kunden analysierte das Varonis Forensics-Team eine Probe der Egregor-Malware. In diesem speziellen Fall wurde die Malware durch ein PowerShell-Skript ausgeliefert. Das PS-Skript sucht zun\u00e4chst nach einer McAfee-exe-Datei, um das Produkt zu deinstallieren. Dadurch wird ein potenziell wichtiges Abwehrwerkzeug deaktiviert, das die Aktivierung der Ransomware verhindern k\u00f6nnte.<\/p>\n
Die Malware schl\u00e4ft dann f\u00fcr 60 Sekunden. Dasselbe PS-Skript l\u00e4dt dann eine DLL von einer b\u00f6sartigen IP-Adresse herunter, speichert sie unter dem Pfad \u201eC:\\Users\\Public\\Pictures\", aktiviert sie als \u201erundll32.exe\" und verwendet dabei bestimmte Funktionen innerhalb der DLL.<\/p>\n
Mithilfe mehrerer Bibliotheken, darunter auch der Microsoft-DLL CRYPTSP.DLL, die sich unter dem Pfad \u201eC:\\Windows\\System32\" befindet, verschl\u00fcsselt die Malware Dateien, die sie auf dem Ger\u00e4t des Opfers findet, und h\u00e4ngt an jede verschl\u00fcsselte Datei eine pseudozuf\u00e4llige Erweiterung an. Die Malware erstellt dann in jedem Ordner, in dem sie Dateien verschl\u00fcsselt hat, eine L\u00f6segeldnotiz mit Anweisungen, wie das L\u00f6segeld zu zahlen ist und die Dateien entschl\u00fcsselt werden k\u00f6nnen.<\/p>\n
Varonis gibt in seiner Mitteilung folgende Tipps Tipps zum Schutz vor Malware:<\/p>\n
Abschlie\u00dfend der Ratschlag, sich sich helfen zu lassen, wenn Grund zu der Annahme besteht, dass Systeme von Egregor oder einer anderen Gruppe angegriffen wurden. Varonis hat ein Varonis Incident Response Team<\/a>, an welches man sich wenden kann, um profunde Hilfe bei der Abwehr und Forensik zu erhalten. Dabei spielt es keine Rolle, ob man Varonis-Kunde ist oder nicht, schreibt Varonis.<\/p>\n","protected":false},"excerpt":{"rendered":" Eigentlich hatte ich gehofft, dass die Egregor-Gang Geschichte sei. Aber trotz Verhaftungen mehrerer Personen aus dem Umfeld der Egregor-Bande im Februar 2021, ist das Ransomware-as-a-Service-Modell weiterhin aktiv. Das meldete das Incident Response Team (IRT) von Varonis Systems. Denn es konnte … Weiterlesen