Untersucht wurde die neue Ransomware von den Sicherheitsexperten des Unternehmens Digital Shadows. Diese haben mindestens 71 Opfer aus verschiedenen Branchen und Ländern identifiziert, darunter bekannte Namen wie der Buchhändler Barnes & Noble und die Videospielehersteller Ubisoft und Crytek. Dabei gehen die Cyberkriminellen sehr geplant vor und bereiten jeden Angriff sorgfältig vor. Die Sicherheitsforscher betonen insbesondere die Tatsache, dass die Hacker sich den Gegebenheiten der unterschiedlichsten Branchen anpassen können. Dies lässt darauf schließen, dass sie bereits seit einiger Zeit aktiv sind, jedoch erst jetzt die Früchte ihrer Arbeit ernten.
Wie bei Ransomware-Gruppen üblich, ist das Hauptziel von Egregor Geld, zahlbar in Bitcoin oder einer anderen Kryptowährung. Dafür kommt auch hier eine Masche zum Einsatz, die sich mittlerweile großer Beliebtheit unter Cyberkriminellen erfreut: Es wird damit gedroht, die erbeuteten Daten zu veröffentlichen, sollte das Opfer das geforderte Lösegeld nicht zahlen. In einigen Fällen erhält es direkt mit der Lösegeldforderung einige wenige Daten von den eigenen Servern als Beweis, dass die Erpresser es ernst meinen. Wie genau die Kriminellen es schaffen, ihre Opfer zu infizieren, ist derzeit noch nicht völlig geklärt. Das liegt wohl auch daran, dass der Code der Ransomware so programmiert und verschleiert ist, dass Sicherheitsforscher nur wenig Möglichkeiten haben, ihn zu analysieren. Wie so oft scheinen jedoch auch hier Phishing-Mails eine große Rolle zu spielen.
Interessant bei Egregor ist außerdem, dass die Opfer aus den unterschiedlichsten Branchen stammen. Trotzdem scheint es ein gewisses Muster bei der Auswahl zu geben. So hat rund ein Drittel der Kampagnen zur Verbreitung der Ransomware auf den Bereich der Industriegüter und Dienstleistungen abgezielt. Außerdem stammt ein Großteil der bislang bekannten Opfer aus den USA. Doch das muss nicht so bleiben, insbesondere da die Gruppe offenbar das Ziel hat, die Lücke zu füllen, die nach dem Rückzug von Maze entstanden ist. Technische Überlegenheit und Anpassungsfähigkeit von Egregor lassen diesen Schluss durchaus zu.
Unternehmen sollten also alle nötigen Maßnahmen ergreifen, um sich vor Egregor und anderen Ransomware-Gruppen zu schützen. Multi-Faktor-Authentifizierung kann dabei eine wichtige Rolle spielen. Sie stellt eine weitere Schutzstufe dar, die Kriminelle zusätzlich überwinden müssen, selbst wenn Passwörter und Nutzernamen kompromittiert wurden. Auch Sicherheits-Updates aller verwendeten Programme und Betriebssysteme sollten direkt und ohne Verzögerung eingespielt werden. Ein wichtiger Grund dafür ist die Zusammenarbeit vieler Softwareunternehmen mit Cybersicherheitsforschern. Diese veröffentlichen neue Sicherheitslücken im Normalfall erst, wenn entsprechende Patches zur Verfügung stehen, damit Kriminelle keine Chance haben, die Forschungsergebnisse für ihre Machenschaften auszunutzen. Wer jedoch darauf verzichtet, Sicherheitsupdates zeitnah einzuspielen, macht sich zum leichten Ziel. Auch regelmäßige Back-ups, die getrennt vom Netzwerk und dem Internet aufbewahrt werden, sollten mittlerweile zum Standard gehören. Ein weiterer, nicht zu unterschätzender Baustein eines funktionierenden Sicherheitskonzepts ist Awareness, also die Sensibilisierung der Mitarbeiter für die Gefahren in und aus dem Netz. Denn Vorsicht und Wissen sind der beste Schutz vor Phishing-Kampagnen, die immer noch zu den beliebtesten Einfallstoren für Schädlinge aller Art zählen.