Egregor Ransomware

Wenn Backup nichts mehr nützt

21.01.2021
Von 


Cynthia Brumfield hat langjährige Erfahrung als Kommunikations- und Technologie-Analystin und schreibt für unsere US-Schwesterpublikation CSO Online.
Egregor heißt eine neue Hackergruppe, die ihre kriminellen Lösegeldforderungen mit der Androhung von massiven Reputationsschäden unterstreicht.
Keine Ransomware-Sorgen dank guter Backup-Strategie? Diese Zeiten sind vorbei.
Keine Ransomware-Sorgen dank guter Backup-Strategie? Diese Zeiten sind vorbei.
Foto: Lordn - shutterstock.com

Egregor heißt eine neue Hackergruppe, die Ransomware im Unternehmensumfeld verbreitet. Dabei erhöhen die Kriminellen den Druck, das Lösegeld zu bezahlen, indem sie damit drohen, sensible Daten im großen Stil im Netz zu veröffentlichen und so der Reputation eines Unternehmens beträchtlichen Schaden zuzufügen.

Egregor Ransomware - Definition

Der Name Egregor entstammt dem Okkultismus und wird definiert als "die Energie einer Gruppe von Menschen, die ein gemeinsames Ziel haben". Auch wenn die Beschreibungen der Egregor Ransomware je nach Security-Anbieter variieren - Einigkeit besteht darüber, dass es sich um eine Variante der Sekhmet Ransomware handelt, die eine ernsthafte und rapide wachsende Bedrohung darstellt. Laut Digital Shadows bringt es Egregor auf mindestens 71 Ransomware-Opfer weltweit - verteilt über alle Branchen.

Erstmals in Erscheinung getreten ist Egregor im September 2020 - zur selben Zeit kündigte die Gruppierung hinter der Ransomware Maze an, ihre Aktivitäten komplett einzustellen. Teile dieser Hacker-Gang könnten nun bei Egregor untergekommen sein. Die Security-Forscher von Unit 42 sehen Verbindungen von Egregor zu Malware wie Qakbot. Dieser Schädling verbreitete sich im Jahr 2007 und nutzte Wurm-Funktionalitäten, um Finanzdaten zu stehlen. Auch IcedID und Ursnif - Tools, die Angreifern dabei helfen, Zugang zu IT-Systemen zu erlangen - sollen den Köpfen von Egregor-Mitgliedern entsprungen sein.

Egregor - Ransomware mit Bonus-Flavor

Wie die meisten neuen Ransomware-Varianten nutzt auch die Egregor Ransomware die "Double Extortion"-Technik. Um die Wahrscheinlichkeit zu erhöhen, dass befallene Unternehmen das Lösegeld bezahlen, drohen die Kriminellen mit der Veröffentlichung von gestohlenen Daten im Netz. Zu den prominentesten Opfern von Egregor zählen der niederländische Personaldienstleister Randstad, der US-Buchhändler Barnes & Noble, die Videogame Publisher Ubisoft und Crytek sowie der amerikanische Einzelhandelsriese Kmart. Im Fall von Randstad wurden auch gestohlene Daten im Netz veröffentlicht.

Wie für viele andere Cyberkriminelle auch, sind Healthcare-Unternehmen und Krankenhäuser während der Corona-Pandemie für die Egregor-Mitglieder Freiwild. GBMC Healthcare in Maryland, USA, wurde beispielsweise im Dezember 2020 zum Opfer der Egregor Ransomware und musste trotz umfassender Cybersecurity-Maßnahmen einige seiner Dienstleistungen zeitweise einstellen.

"Double Extortion" charakterisiert alle modernen Ransomware-Familien und hebelt eine der wirksamsten Schutzmaßnahmen gegen Ransomware - nämlich eine gute Backup-Strategie - aus. Das blieb natürlich auch Cyberkriminellen wie Egregor nicht verborgen. Das Ergebnis: Ist die Ransomware eingeschleust, erhöhen sie den Druck zur Zahlung des Lösegelds, indem sie mit der Veröffentlichung von sensiblen Daten im Netz - und damit mit einer nachhaltigen Schädigung der Unternehmensreputation - drohen.

Egregor abwehren - so geht's

Um sich vor dieser neuen Art der Cybererpressung zu schützen, können einerseits stärkere Schutzmaßnahmen helfen - schließlich handelt es sich bei Erpressungstrojanern im Regelfall nicht um hochgezüchtete Stealth Malware. Im Wesentlichen sind Ransomware-Infektionen auf Phishing zurückzuführen, weswegen Schulungen in diesem Bereich Sinn machen.

Jen Miller-Osborn, Depuity Director of Threat Intelligence bei Unit 42, empfiehlt Unternehmen darüber hinaus, ihre Netzwerke und sensiblen Daten bestmöglich zu schützen: "Sie brauchen die richtigen Security-Komponenten mit der richtigen Konfiguration an den richtigen Stellen. Besonders schützenswerte Daten können zudem stärker abgesichert werden als andere Teile des Netzwerks - aber all das kostet Geld und ist kein Kinderspiel."

Unglücklicherweise ist kein Ende des kriminellen Cybertreibens in Sicht - im Gegenteil: "Ich glaube wir werden noch mehr kriminelle Akteure sehen, die diese Art der Cybererpressung adaptieren. Schließlich wissen die Hacker ganz genau, dass hier potenziell viel Geld zu holen ist", prophezeit Miller-Osborn. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.