Ransomware Egregor: Mehrere Affiliates verhaftet, Leak-Website offline

Für Cybergangster fing das Jahr schlecht an: Auf die Verhaftungen von Emotet- und NetWalker-Drahtziehern folgten nun Festnahmen im Zusammenhang mit Egregor.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 17 Beiträge

(Bild: Pixels Hunter/Shutterstock.com)

Von
  • Olivia von Westernhagen

Die Behörden in der Ukraine haben im Zuge der Ermittlungen gegen die Ransomware-Gang rund um "Egregor" mehrere Personen verhaftet. Es soll sich dabei um Affiliates handeln, die im Rahmen des "Ransomware as a Service"-Modells von Egregor in Firmennetzwerke einbrachen, um dort die Ransomware zu installieren und später einen Anteil am erpressten Lösegeld zu erhalten. Wieviele Personen insgesamt verhaftet wurden, ist nicht bekannt.

Die Verhaftungen seien das Resultat einer Zusammenarbeit von ukrainischen und französichen Strafverfolgungsbehörden, berichtet der französische Radiosender France Inter. Bereits im Herbst 2020 habe das Zivilgericht Tribunal de Grande Instance (TGI) eine Untersuchung eingeleitet, nachdem dort via Europol mehrere Beschwerden und Hinweise zu Egregor-Erpressungen eingereicht worden waren. Es sei den Ermittlern gelungen, über die Blockchain der Spur in Bitcoin gezahlter Lösegelder zu folgen, die letztlich zu mehreren Verdächtigen in der Ukraine geführt hätte.

Die Egregor-Ransomware-Gang ist erst seit September vergangenen Jahres aktiv, konnte während dieser Zeit jedoch schon diverse erfolgreiche Angriffe auf große Firmen verbuchen. Unter anderem attackierte Egregor im Oktober 2020 die Spielehersteller Ubisoft und Crytek und leakte im Zuge einer doppelten Erpressungsstrategie aus Verschlüsselung und Erpressung Spieledaten auf einer eigens dafür eingerichteten Website. Die international operierende Zeitarbeitsfirma Randstad fiel Egregor im Dezember vergangenen Jahres zum Opfer – Datenveröffentlichung inklusive. Weitere prominente Angriffsziele waren etwa Barnes & Noble und die Handelskette Kmart.

Einige Sicherheitsforscher vermuten, dass es sich bei Egregor um einen direkten Nachfolger von "Maze" handelt. Die erfolgreiche Maze-Ransomware-Gang machte Ende Oktober 2020 "die Schotten dicht"; bereits vor Ankündigung des Maze-Endes sei allerdings ein Großteil der damaligen Affiliates in einer offenbar koordinierten Aktion zu Egregor übergelaufen. Dieses "Personal" aus erfahrenen kriminellen Hackern dürfte stark zum Erfolg der neuen Ransomware beigetragen haben.

Nun scheint allerdings auch Egregors Zukunft zumindest ungewiss: Gegenüber ZDNet berichtete ein Sicherheitsforscher, dass die Leak-Website von Egregor seit vergangenem Freitag offline sei. Ob ein Zusammenhang zu den aktuellen Festnahmen besteht, ist unklar. Ein "Seized"-Banner, wie Strafverfolgungsbehörden es verwenden, weise die Website nicht auf.

Die IT-News-Website Bleeping Computer wies darauf hin, dass die Leak-Site bereits im vergangenen Monat für rund zwei Wochen offline gewesen sein soll. Als sie wieder ans Netz gegangen sei, seien Affiliates nicht näher beschriebene Probleme aufgefallen; es habe bereits zu diesem Zeitpunkt Mutmaßungen bezüglich einer Übernahme durch Strafverfolgungsbehörden oder einen Hack gegeben.

Ob sich diese Vermutungen bewahrheiten, wird sich zeigen. Fakt ist, dass das Jahr für Cybergangster schlecht begonnen hat: Bereits Ende Januar war Strafverfolgungsbehörden ein schwerer Schlag gegen Emotet gelungen. Nur wenige Tage später hatten Ermittler die Darkweb-Site der Ransomware "NetWalker" übernommen, später Lösegeldzahlungen beschlagnahmt und einen Affiliate angeklagt.

(ovw)