Trotz Verhaftungen mehrerer Personen aus dem Umfeld der Egregor-Bande im Februar, ist das Ransomware-as-a-Service-Modell weiterhin aktiv. Das Incident Response Team (IRT) von Varonis Systems konnte in den letzten Wochen und Monaten weltweit mehrere entsprechende Kampagnen identifizieren.
Ransomware as a Service
Die Egregor-Ransomware ist eine Modifikation sowohl der Sekhmet- als auch der Maze-Ransomware: Zwischen allen drei Malware-Varianten gibt es gewisse Ähnlichkeiten im Code. Zudem zielen auch alle drei auf dieselbe Art von Opferunternehmen ab. Egregor arbeitet dabei als „Ransomware as a Service“ (RaaS): Kriminelle können bestimmte Varianten der Malware nutzen, die speziell für sie oder gezielt für einen Angriff auf ein bestimmtes Unternehmen entwickelt wurden. Im Gegenzug erhält die Egregor-Gruppe einen gewissen Anteil an den Gewinnen der Attacken.
Egregor setzt dabei auf „Double Extortion“: Die Cyberkriminellen dringen in die Netzwerke der Opfer ein, exfiltrieren Daten, die sich auf den kompromittierten Geräten und Servern befinden, und verschlüsseln die Dateien in den Opfersystemen. Auf diese Weise sind sie in der Lage, auch mit der Veröffentlichung der Daten zu drohen, um den Druck auf die Opfer noch weiter zu erhöhen. In der Regel wird dabei auch ein Teil der exfiltrierten Daten auf ihrer Website (die im Dark Web gehostet wird) „als Beweis“ veröffentlicht. Zu den bekanntesten Opfern von Egregor zählen das größte US-amerikanische Buchhandelsunternehmen Barnes & Noble, die Videospiel-Entwickler Ubisoft und Crytek sowie der Personaldienstleister Randstad.