Ransomware
Wie doppelte Erpressung mit der Egregor-Ransomware funktioniert
Von Bhabesh Raj Rai, Associate Security Analytics Engineer bei LogPoint
Egregor ist eine Variante der Sekhmet-Ransomware-Familie, gehört zu den aktivsten und aggressivsten Ransomware-Stämmen des vergangenen Jahres und gilt weithin als Nachfolger der Ransomware Maze. Mehrere Sicherheitsforscher sind unabhängig voneinander zu dem Schluss gekommen, dass Egregor mit Malware wie Qakbot, IcedID und Ursnif verknüpft wird, um einen ersten Zugriff auf die Systeme der Opfer zu erhalten.
Egregor trat erstmalig Mitte September 2020 in Erscheinung, während die Macher der Maze Ransomware zum gleichen Zeitpunkt öffentlich ihren Rückzug bekannt gaben. In dieser kurzen Zeit sind Egregor mehrere Infektionen gelungen. Unter anderem bei namhaften Unternehmen wie Kmart, Ubisoft, Crytek und Randstad. Die Zunahme der Aktivität von Egregor signalisiert, dass die Partner von Maze schnell und reibungslos zu Egregor gewechselt sind. Egregor folgt dem gleichen RaaS-Modell (Ransomware-as-a-Service) wie andere beliebte Ransomware-Stämme, z. B. Ryuk und Maze. Bei RaaS abonnieren die Cyberkriminellen die Verwendung von Egregor, so dass selbst Anfänger komplexe Ransomware-Angriffe starten können. Ein weiterer Grund für die rasche Verbreitung von Egregor ist die hochwirksame Taktik der doppelten Erpressung, bei der Cyberkriminelle auf sensible Daten zugreifen, sie verschlüsseln, um den Zugang der Opfer zu verhindern, und dann einen Teil der betroffenen Daten als Nachweis der Exfiltration veröffentlichen.
Die doppelte Erpressung setzt die Opfer größtmöglich unter Druck, das Lösegeld zu bezahlen, und es funktioniert. Arete IR ermittelte, dass die durchschnittliche Lösegeldforderung von Egregor bei 3.407.119 US-Dollar liegt, bei einer durchschnittlichen Ausfallzeit von 12 Tagen. Die cyberkriminellen Nutzer von Egregor sind für ihren Verhandlungsstil bekannt. Sie stellen ihren Opfern ein Ultimatum: Daten werden nach 72 Stunden veröffentlicht, sollten sie nach der Verschlüsselung der Systeme der Opfer keine Antwort erhalten. Wie Maze und Ryuk hat auch Egregor große Unternehmen im Visier, da diese ein hohes Lösegeld zahlen können, was erhebliche Profite bedeutet.
Ein typischer Egregor-Angriff beinhaltet ein bösartiges Microsoft Office-Dokument, das einer Phishing-E-Mail als erster Infektionsvektor angehängt ist. Beim Öffnen des Dokuments kann dieses schädliche Makro-Malware wie Qakbot oder IcedID herunterladen. Die heruntergeladene Malware beginnt dann, den Host und das Netzwerk auszukundschaften und sammelt Anmeldedaten, die für laterale Bewegungen verwendet werden können. Die Malware kann entweder PsExec oder WMI für laterale Bewegungen verwenden. In bestimmten Fällen haben Egregor-Akteure auch Cobalt Strike eingesetzt. Am Ende des Infektionszyklus lädt die Malware in der Regel einen Batch und eine Zip-Datei herunter. Die Zip-Datei enthält das RClone-Tool mit seinen Konfigurationsdateien für die Exfiltrierung von Daten zu Cloud-Dateihosting-Seiten wie DropBox oder OneDrive. Der Batch enthält einen Befehl zum Herunterladen und Ausführen der Egregor DLL über rundll32.
Im Februar 2021 führten gemeinsame Ermittlungen der französischen und ukrainischen Polizei zur Festnahme einiger Kunden der RaaS Egregor. Die Behörden nehmen jedoch an, dass keiner dieser verhafteten Kriminellen dem operativen Team von Egregor angehört. Es ist davon auszugehen, dass die Festnahmen nicht zu einer dauerhaften Abschaltung der Ransomware-Familie von Egregor führen.
Mithilfe des MITRE ATT&CK-Frameworks und LogPoint können die „Blue Teams“ Egregor in allen Phasen eines Angriffs aufspüren. Die Bedrohungsjäger können die nachfolgend aufgeführten Abfragen verwenden, um die verschiedenen Taktiken, Techniken und Verfahren (TTPs) von Egregor zu suchen.
