Dieser Bericht bietet einen monatlichen Überblick vom Forensik-Team von Varonis und dokumentiert die Aktivitäten, die wir beobachtet haben, während wir auf Ereignisse reagiert, forensische Untersuchungen durchgeführt und Malware-Proben durch Reverse Engineering nachkonstruiert haben. Dieser Bericht dient dazu, Ihnen zu helfen, die sich stets weiterentwickelnden Bedrohungsszenarien besser zu verstehen und Ihre Abwehrmaßnahmen entsprechend anzupassen.
Ein großes französisches Transportunternehmen, Kunde von Varonis, wurde auf mehreren Geräten von Malware infiziert.
Sie wandten sich an das Forensik-Team von Varonis, um die infizierten Geräte zu untersuchen, die infizierten Dateien zu finden und gemeinsam eine Zeitachse sowie einen Bericht über die böswilligen Aktivitäten zu erstellen.
Das Forensik-Team hat das Ereignisprotokoll und die Masterdateitabelle (MFT) von den infizierten Geräten exportiert und mehrere verdächtige Dateien gefunden.
Einige der verdächtigen Dateien enthielten bösartige Funktionen, die zu den Befunden in der Umgebung des Kunden passten:
Unser Team half dem Kunden dabei:
Im Februar wurde bekannt, dass mehrere mutmaßliche Betreiber von Egregor-Ransomware-Varianten verhaftet wurden. Dabei handelte es sich um eine gemeinsame Operation der Strafverfolgungsbehörden der Ukraine und Frankreichs. Es wurde berichtet, dass Lösegeldzahlungen zurückverfolgt werden konnten und zu den verhafteten Verdächtigen führten.[i]
Dennoch ist Egregor weiterhin aktiv und wird als Payload für Kampagnen auf der ganzen Welt genutzt, wie wir in den letzten Monaten gesehen haben. So wurde beispielsweise ein britisches Immobilienbüro mit einer Variante von Egregor angegriffen. Später wurden dann persönliche Kundendaten, beispielsweise Kreditkartendaten, im Dark Web entdeckt. Ein weiteres Beispiel bot ein amerikanisches Logistikunternehmen. Dieses erhielt Drohungen, dass sensible Daten aus dem Unternehmen offengelegt würden, von einer Hackergruppe, die vermutlich Verbindungen zu Egregor hatte.[ii]
Egregor ist eine Ransomware-Bedrohungsgruppe, die in den letzten Monaten stark an Dynamik gewonnen hat. Obwohl sie noch relativ neu ist, hat sie sich innerhalb kürzester Zeit eine beträchtliche Reputation erarbeitet, indem zwei verschiedene Erpressungsmethoden angewendet wurden.[iii] Egregor ist ein Ausdruck aus der westlichen Magie, der die kollektive Energie einer Gruppe von Menschen bezeichnet, die ein gemeinsames Ziel haben.[iv]
Es wird vermutet, dass die Egregor-Ransomware der Nachfolger der Maze-Ransomware ist – der berüchtigten Cybercrime-Gruppe, die im Oktober 2020 ihren Betrieb eingestellt hat. Deren Angriffsversuche waren von vielen verschiedenen Einflüssen inspiriert. Und diese bilden vermutlich auch die Grundlage für die Ambitionen von Egregor. Die Egregor-Ransomware ist eine Modifikation der Sekhmet-Ransomware und der Maze-Ransomware. Zwischen allen drei Malware-Varianten gibt es Ähnlichkeiten im Code, und sie scheinen alle auf ähnliche Unternehmen abzuzielen.
Egregor arbeitet mit einem Modell, das als „Ransomware as a Service“ (RaaS) bezeichnet wird. Dabei können kriminelle Partner der Ransomware-Entwickler bestimmte Varianten der Malware verwenden, die speziell für sie oder speziell für einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug teilen sie die Gewinne aus dem Angriff mit den Entwicklern.
Wie bereits erwähnt, nutzt die Ransomware zwei verschiedene Möglichkeiten, um die Opfer zu erpressen. Die Egregor-Gruppe dringt in das Netzwerk der Organisation ein und verschlüsselt die Daten, die sie vorfindet, sodass das Opfer nicht darauf zugreifen kann. Außerdem exfiltrieren die Angreifer Daten, die sich auf den kompromittierten Geräten und Servern befinden, und drohen damit, diese Daten zu veröffentlichen. Eine Teilmenge der exfiltrierten Daten wird in der Regel auf ihrer Website (die im Dark-Web gehostet wird) veröffentlich – als Beweis, dass sie die Daten wirklich haben.
Dem Opfer wird ein Ultimatum gestellt, innerhalb einer bestimmten Frist zu zahlen, andernfalls wird das Lösegeld erhöht.
Einer der ersten erfolgreichen Angriffe von Egregor richtete sich im Oktober 2020 gegen Barnes & Noble, eine bekannte Buchhandelskette. Bei diesem Angriff verursachten die Angreifer eine vorübergehende Unterbrechung der Dienste des Unternehmens und behaupteten, Finanzdaten des Unternehmens erbeutet zu haben, was von den Opfern jedoch abgestritten wurde.
Andere groß angelegte Angriffe in diesem Monat hatten die zwei Spieleentwickler Crytek und Ubisoft zum Ziel. Die Angreifer stellten angebliche Teile des Quellcodes von Spielen auf ihre Website und drohten, unveröffentlichte Spiele zu veröffentlichen.
Im Dezember 2020 fiel zudem die niederländische Personalberatung Randstad Egregor zum Opfer. Der Angreifer veröffentlichte angeblich 1 % der gestohlenen Daten, die aus Finanzdokumenten, hauptsächlich Excel-Tabellen und PDF-Dateien, bestanden.
Eine der Übermittlungsmethoden für Egregor ist Cobalt Strike. Die Zielunternehmen werden zunächst auf verschiedene Weise kompromittiert (Brute-Force-Angriffe per RDP, Phishing), und sobald die Nutzlast des Cobalt-Strike-Beacons ausgeführt wurde, wird sie zur Übermittlung und zum Starten der Egregor-Nutzlast verwendet.[v]
Wenn Egregor z. B. durch Phishing-E-Mails übermittelt wird, besteht der Angriff in der Regel aus zwei Phasen. Zunächst wird eine zugeschnittene Phishing-E-Mail vom Opfer geöffnet und lädt eine Malware für die erste Phase, beispielsweise Qakbot, gefolgt von der eigentlichen Egregor-Ransomware. Die Egregor-Nutzlast wird in der Regel von den Angreifern selbst bereitgestellt, nachdem sie die anfängliche Kompromittierung ausgenutzt haben.
Mit Cobalt Strike kann der Angriff zu einer interaktiven Operation für die Angreifer werden. Sie verwenden hierbei Tools zum Scannen der AD-Umgebung, um sich lateral zu bewegen, ihre Berechtigungen zu eskalieren und schließlich die Kontrolle über ein Domänenadministratorkonto zu übernehmen.[vi]
Das Forensik-Team von Varonis hat auf Anfrage eines Kunden eine Probe von Egregor analysiert. In diesem speziellen Fall wurde die Malware durch ein PowerShell-Skript übermittelt, das die bösartige DLL herunterlud, sie im Verzeichnis „Bilder“ im öffentlichen Ordner des Benutzers speicherte und sie ausführte, indem es sie als Parameter an „rundll32.exe“ übergab. Anschließend verwendete sie bestimmte Funktionen in der DLL.
Das PS-Skript sucht nach einer zu McAfee gehörenden ausführbaren Datei, um das Produkt zu deinstallieren. Dadurch wird ein potenziell wichtiges Abwehrwerkzeug deaktiviert, das die Aktivierung der Ransomware verhindern könnte. Die Malware versetzt sich anschließend 60 Sekunden lang in den Schlafzustand.
Das gleiche PS-Skript lädt eine Nutzlast-DLL von einer bösartigen IP-Adresse herunter, speichert sie unter dem Pfad „C:\Users\Public\Pictures“ und aktiviert sie, indem sie sie als Parameter für die ausführbare Datei „rundll32.exe“ übergibt. Anschließend führt sie bestimmte Funktionen innerhalb der Nutzlast-DLL aus, mit dem String „passegregor10“ als Parameter. Das ist im Grunde ein Schlüssel, der als Anti-Forensik-Maßnahme vorgesehen ist – d. h. die Malware kann nicht ausgeführt und daher nicht analysiert werden, wenn nicht genau dieser Schlüssel bekannt ist.
Unter Verwendung mehrerer Verschlüsselungsbibliotheken, einschließlich der Bibliotheken in der Microsoft-DLL „CRYPTSP.DLL“ unter dem Pfad „C:\Windows\System32“, verschlüsselt die Malware Dateien, die sie auf dem Gerät des Opfers findet, und hängt eine pseudozufällige Erweiterung an jede verschlüsselte Datei an. Die Malware erstellt dann eine Lösegeldforderung für jeden Ordner, in dem sie Dateien verschlüsselt hat, mit Anweisungen, wie das Lösegeld zu zahlen ist und wie die Dateien entschlüsselt werden können.
Die Bedrohungserkennungsprodukte von Varonis verfügen über mehrere integrierte Bedrohungsmodelle, die die genannten Malware-Varianten in verschiedenen Phasen ihrer Aktivität identifizieren können:
| Name der Variante | Verbreitung | Datenzentrierte IOCs |
| STOP-Ransomware | 3 | .cadq |
| Dharma-Ransomware | 3 | .pauq |
| Dharma-Ransomware | 3 | .four |
| Ranzy-Locker-Ransomware | 2 | .RANZYLOCKED |
| Dharma-Ransomware | 3 | .clman |
| Snoopdoog-Ransomware | 1 | .Snoopdoog |
| Assist-Ransomware | 1 | .assist |
| STOP-Djvu-Ransomware | 3 | .ribd |
| Aurora-Ransomware | 2 | .systems32x |
| „Help You“-Ransomware | 1 | .IQ_IQ |
| Perfection-Ransomware | 1 | .perfection |
| SARBLOH-Ransomware | 1 | .sarbloh |
| Monero-Ransomware | 1 | .monero |
| MrJeck-Ransomware | 1 | .[MrJeck@Cock.Li] |
| LockfilesKR-Ransomware | 1 | .lockfilesKR |
| Periox-Ransomware | 1 | .periox |
| VaPo-Ransomware | 1 | .VaPo |
| TerrorWare-Ransomware | 1 | .terror |
[i] https://blog.malwarebytes.com/ransomware/2021/02/egregor-ransomware-hit-by-arrests/
[ii] https://www.blackfog.com/the-state-of-ransomware-in-2021/
[iii] https://blog.morphisec.com/egregor-ransomware-adopting-new-techniques
[iv] https://www.upguard.com/blog/what-is-egregor-ransomware
[vi] https://www.cybereason.com/blog/cybereason-vs-egregor-ransomware
