Angriffe mit der Ransomware Egregor

Rasnomware Egregor

Seit September 2020 wird die neue Ransomware Egregor aktiv verteilt. In vielen Ländern weltweit sind
mehr als 150 betroffene Unternehmen bekannt mit steigender Tendenz. Es gibt Hinweise auf mögliche Ähnlichkeiten zu einer Ransomware namens Sekhmet, Egregor wird zudem in der Nachfolge der Ransomware Maze vermutet. Laut dem IT-Sicherheitsdienstleister GroupIB wird Egregor u. a. durch QakBot verteilt.

In Deutschland wurde unter anderem ein Großunternehmen für Maschinenbau Opfer von Egregor wesentliche Geschäftsprozesse waren infolge des Ransomwareangriffs beeinträchtigt. Außerdem gab es eine weitere deutsche Betroffenheit im Bereich Medizintechnik. Auch ein größerer deutscher Industrieverband berichtete über mehrere Vorfälle bei seinen Mitgliedern. Medien berichteten, dass zuletzt auch Daten der Spielehersteller Crytek und Ubisoft auf der „Dedicated Leak Site (DLS)“ von Egregor veröffentlicht wurden. Es sollen 20 MB von Ubisoft geleakt worden seien, teilweise sei Quellcode aus einem noch nicht veröffentlichten Computerspiel kopiert worden. Zudem sollen 380 MB des Unternehmens Crytek aus der Spieleentwicklungsabteilung exfiltriert worden seien. Darüber hinaus wurde im Oktober 2020 der US-Buchhändler Barnes & Noble Opfer von Egregor.

Nach Verbreitung der Ransomware und nachfolgender Infektion durch Egregor werden alle erreichbaren Dateien, bis zu täglich mehreren hundert Gigabyte pro Tag, an die IP-Adresse der Täter exfiltriert. Im nächsten Schritt werden die Daten auf den infizierten Computern mit einem symmetrischen Verschlüsselungsverfahren verschlüsselt. Im Anschluss wird auf den betroffenen Computern eine Nachricht mit detaillierten Angaben zur Forderung des Lösegelds angezeigt. In einigen Fällen wurde die Lösegeldforderung über die lokal erreichbaren Drucker verbreitet. Infektion, Daten-Exfiltration und Verschlüsselung passieren in einem relativ kurzen Zeitraum, der vor allem von der verfügbaren Bandbreite abhängt. Ein Teil der abgeflossenen Daten wird auf einer „Dedicated Leak Site (DLS)“ veröffentlicht, um so die Lösegeldforderung zu verstärken und mehr Handlungsdruck auf die Opfer auszuüben. Lösegelder zwischen zwei und fünf Millionen Euro wurden pro Fall mithilfe von Egregor bereits erpresst.