Ransomware: Egregor gefährdet weiterhin Datensicherheit in Unternehmen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Ransomware: Egregor gefährdet weiterhin Datensicherheit in Unternehmen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Trotz Verhaftungen von Personen aus dem Umfeld der Egregor-Bande im Februar 2021 ist die Ransomware as-a-Service weiterhin aktiv. Das Incident-Response-Team von Varonis Systems konnte in den letzten Monaten weltweit mehrere Kampagnen identifizieren, bei denen Unternehmen angegriffen wurden.
Ransomware

Quelle: rawf8/Shutterstock

So wurde beispielsweise ein britisches Immobilienbüro von einer Egregor-Variante angegriffen und dabei persönliche Kundendaten, wie Kreditkarteninformationen, entwendet, die später im Dark Web auftauchen. Außerdem wurde einem US-amerikanischen Logistik-Unternehmen von einer Hackergruppe, die vermutlich in Verbindung mit der Ransomware Egregor steht, mit der Veröffentlichung interner und vertraulicher Dateien gedroht. Zahlreiche Security-Experten gehen davon aus, dass Egregor der Nachfolger der berüchtigten Maze-Gruppe ist, die bis Oktober 2020 aktiv war.

Ransomware as a Service: Gezielte Angriffe auf bestimmte Unternehmen

Die Ransomware von Egregor ist eine Modifikation sowohl der Sekhmet- als auch der Maze-Ransomware: Zwischen allen drei Malware-Varianten gibt es gewisse Ähnlichkeiten im Code. Zudem zielen auch alle drei auf dieselbe Art von Opferunternehmen ab. Egregor arbeitet dabei als „Ransomware as a Service“ (RaaS): Kriminelle können bestimmte Varianten der Malware nutzen, die speziell für sie oder gezielt für einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug erhält die Egregor-Gruppe einen gewissen Anteil an den Gewinnen der Attacken.

Egregor setzt dabei auf „Double Extortion“: Die Cyberkriminellen dringen in die Netzwerke der Opfer ein, exfiltrieren Daten, die sich auf den kompromittierten Geräten und Servern befinden, und verschlüsseln die Dateien in den Opfersystemen. Auf diese Weise sind sie in der Lage, auch mit der Veröffentlichung der Daten zu drohen, um den Druck auf die Opfer noch weiter zu erhöhen. In der Regel wird dabei auch ein Teil der exfiltrierten Daten auf ihrer Website (die im Dark Web gehostet wird) „als Beweis“ veröffentlicht. Zu den bekanntesten Opfern von Egregor zählen das größte US-amerikanische Buchhandelsunternehmen Barnes & Noble, die Videospiel-Entwickler Ubisoft und Crytek sowie der Personaldienstleister Randstad.

Varonis nimmt Malware unter die Lupe

Auf Anfrage eines Kunden analysierte das Varonis-Forensics-Team eine Probe der Egregor-Malware. In diesem speziellen Fall wurde die Malware durch ein PowerShell-Skript ausgeliefert. Das PS-Skript sucht zunächst nach einer McAfee-exe-Datei, um das Produkt zu deinstallieren. Dadurch wird ein potenziell wichtiges Abwehrwerkzeug deaktiviert, das die Aktivierung der Ransomware verhindern könnte. Die Malware schläft dann für 60 Sekunden. Dasselbe PS-Skript lädt dann eine DLL von einer bösartigen IP-Adresse herunter, speichert sie unter dem Pfad „C:\Users\Public\Pictures“, aktiviert sie als „rundll32.exe“ und verwendet dabei bestimmte Funktionen innerhalb der DLL.

Mithilfe mehrerer Bibliotheken, darunter auch der Microsoft-DLL CRYPTSP.DLL, die sich unter dem Pfad „C:\Windows\System32“ befindet, verschlüsselt die Malware Dateien, die sie auf dem Gerät des Opfers findet, und hängt an jede verschlüsselte Datei eine pseudozufällige Erweiterung an. Die Malware erstellt dann in jedem Ordner, in dem sie Dateien verschlüsselt hat, eine Lösegeldnotiz mit Anweisungen, wie das Lösegeld zu zahlen ist und die Dateien entschlüsselt werden können.

Wichtige Tipps zum Schutz vor Ransomware

  • Halten Sie Ihre Antiviren- und Endpunktschutzsoftware stets auf dem neuesten Stand: Angreifer nutzen oft Schwachstellen in Software und Betriebssystemen aus, um sich lateral in Unternehmen zu bewegen und Daten zu stehlen. Die Aktualisierung mit Patches reduziert das Risiko von Bedrohungen erheblich.
  • Sensibilisieren Sie Ihre Mitarbeiter für Cyberrisiken: Dies gilt insbesondere auch für Phishing-Mails, die nach wie vor der beliebteste Angriffsweg für zahlreiche Angriffe, etwa Ransomware, ist.
  • Setzen Sie auf ein Zero-Trust/Least-Privilege-Modell: Die Begrenzung der Zugriffe nach dem „need-to-know“-Prinzip, bei dem Mitarbeiter nur auf die Daten zugreifen können, die sie auch tatsächlich für ihre Arbeit benötigen, reduziert das Risiko und den potenziellen Schaden auf das Minimum.
  • Überwachen Sie abnormale Datenzugriffe: Ein Angreifer wird höchstwahrscheinlich versuchen, sensible Daten aus dem Unternehmen zu exfiltrieren oder Daten zu verschlüsseln. Durch die intelligente Analyse des Nutzerverhaltens (UBA) kann abnormales Verhalten identifiziert und automatisiert gestoppt werden.
  • Überwachen Sie den Netzwerkverkehr: Durch die Verwendung einer Firewall oder eines Proxys ist es möglich, bösartige Kommunikation mit C&C-Servern zu erkennen und zu blockieren, so dass der Angreifer keine Befehle ausführen oder Daten extrahieren kann.
  • Halten Sie einen Incident-Response-Plan bereit: Erstellen Sie für die wahrscheinlichsten Angriffe Notfall- und Reaktionspläne, um im Schadensfall effektiv und ruhig reagieren zu können. Vergessen Sie nicht, die Pläne regelmäßig zu überprüfen und zu testen.
  • Lassen Sie sich helfen: Wenn Sie Grund zu der Annahme haben, dass Sie von Egregor oder einer anderen Gruppe angegriffen wurden, können Sie sich an das Varonis Incident Response Team wenden. Dort erhalten Sie profunde Hilfe bei der Abwehr und Forensik. Dabei spielt es keine Rolle, ob Sie Kunde von Varonis sind.

Varonis verfolgt seit der Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt. Zu diesen zählen sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Datensicherheits-Plattform (DSP) von Varonis erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible oder veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung. (sg)

Lesen Sie auch: IT-Security-Trends: Auf was sich Sicherheitsverantwortliche 2021 einstellen müssen

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Andere Leser haben sich auch für die folgenden Artikel interessiert

Eine schlechte Internetverbindung, Technikprobleme und die Zunahme von Meetings in der Pandemie sorgen bei Kommunikationsprofis für den größten Unmut, wenn es um Online-Meetings geht. Das geht aus einer aktuellen Umfrage von news aktuell und Faktenkontor hervor, für die Fach- und Führungskräfte 350 Unternehmen und PR-Agenturen befragt wurden.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Aktuelle Ausgabe

Topthema: Die Suche nach der goldenen Zukunft

Digitale Geschäftsmodelle erfordern mehr als gute Ideen

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.