Ransomware
Egregor-Ransomware nimmt weltweit mehrere Branchen ins Visier
Egregor ähnelt der Maze Ransomware
Die IT-Security-Analysten von Palo Alto Networks melden, dass die Ransomware Egregor mehrere Branchen auf der ganzen Welt angreift, unter anderem in den USA, in Europa, im asiatisch-pazifischen Raum und in Lateinamerika. Die Operationen von Egregor ähneln denen der Ransomware Maze. Die Betreiber von Maze haben zwar die Einstellung des „Maze Team Project“ angekündigt, aber offensichtlich eine neue Ransomware entwickelt, um ihre Ziele voranzutreiben.
Aufgrund des Anstiegs der Egregor-Ransomware-Aktivitäten hat das Cyberattacken-Analyseteam von Palo Alto Networks eine allgemeine Bedrohungseinschätzung erstellt, um das Bewusstsein für diese Bedrohung zu schärfen. Egregor ist eine Variante der Sekhmet-Ransomware-Familie. Sie wurde mindestens seit September 2020 beobachtet, etwa zur gleichen Zeit, als die Betreiber der Maze-Ransomware ankündigten, ihren Betrieb einstellen zu wollen. Die gleichen Akteure scheinen nun zu Egregor übergegangen zu sein, um eine Unterbrechung ihrer Operationen zu vermeiden.
Die Maze-Ransomware nutzt Malware wie Trickbot, und Egregor folgte diesem Beispiel mit Malware wie Qakbot, IcedID und Ursnif für den ersten Zugriff. Auch die Ransomware Ryuk nutzt Trickbot und BazaLoader auf ähnliche Weise, um sich zunächst Zugang zum System des Opfers zu verschaffen. Nach der Erstinfektion dienen Skripte dazu, um die Firewalls zu modifizieren und das Remote Desktop Protocol (RDP) zu aktivieren. Cobalt Strike wiederum kommt zum Einsatz, um das Netzwerk auszukundschaften, sich seitlich im Netzwerk zu bewegen, Daten zu exfiltrieren und die Ausführung vorzubereiten.
In der kurzen Zeit, seitdem die Ransomware Egregor unter Beobachtung steht, hat sie weltweit Unternehmen kompromittiert, darunter auch solche in den USA, Europa, dem asiatisch-pazifischen Raum und Lateinamerika. Unternehmen sollten sich der Verwendung von Standard-Malware wie Qakbot, IcedID und Ursnif bewusst sein und diese überwachen, da sie Egregor-Ransomware als Second-Stage-Nutzlast ausliefern könnten. Wie Maze und andere aktuelle Varianten nutzen auch die Affiliates der Egregor-Ransomware eine doppelte Erpressung. Sie hosten eine Erpresser-Website namens „Hall of Shame“, um zusätzlichen Druck zu erzeugen und ihre Opfer zur Zahlung des Lösegelds zu zwingen.
Palo Alto Networks vermutet, dass die Gruppe, die hinter dieser Ransomware steckt, auch in den kommenden Monaten aktiv bleiben und ihre Bemühungen fortsetzen wird, hochrangige Organisationen ins Visier zu nehmen. Die mit dieser Bedrohungsanalyse verbundenen Indikatoren sind auf GitHub verfügbar, wurden im TAXII-Feed von Palo Alto Networks veröffentlicht und können über den ATOM Viewer eingesehen werden. Zusätzlich zu den oben genannten Maßnahmen können AutoFocus-Kunden weitere Aktivitäten mithilfe des Tags Egregor überprüfen.
Palo Alto Networks hat seine Erkenntnisse, einschließlich Dateimustern und Kompromittierungs-Indikatoren, mit den Mitgliedern der Cyber Threat Alliance (CTA) geteilt. CTA-Mitglieder nutzen diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen zu bieten und böswillige Akteure systematisch zu stören.