Betreiber der Ransomware Egregor verhaftet

Strafverfolger in der Ukraine ist offenbar ein Schlag gegen die organisierte Cyberkriminalität gelungen. Wie der französische Radiosender France Inter berichtet, wurden in der Ukraine mehrere Mitglieder des Egregor-Ransomware-Kartells verhaftet. Zuvor hatten Behörden in der Ukraine und Frankreich gemeinsam ermittelt.

Offiziell wurden die Verhaftungen von ukrainischen Behörden bisher nicht bestätigt. In Sicherheitskreisen ist bisher lediglich von einer Aktion von Strafverfolgern die Rede. Dem Bericht zufolge sollen sich jedoch mehrere Verdächtige in Gewahrsam befinden, die die Egregor-Bande in den Bereichen Hacking, Logistik und Finanzen unterstützt haben sollen.

Die Hintermänner von Egregor bieten ihre Schadsoftware als Ransomware-as-a-Service an. Sie vermieten lediglich den Zugang zu der eigentlichen Erpressersoftware. Für Angriffe auf Firmennetzwerke und das Einschleusen der Ransomware sind sie auf die Unterstützung anderer krimineller Gruppen angewiesen.

Egregor selbst ist seit September 2020 aktiv. Zum Geschäftsmodell der Erpresser gehört, dass die Daten von Opfern, die kein Lösegeld zahlen wollen, auf einer Leak-Website zum Kauf anbieten. Das soll den Druck auf die Opfer erhöhen, damit diese sich schließlich doch den Forderungen der Erpresser beugen.

Dem Bericht von France Inter zufolge gingen den Ermittlern bisher ausschließlich Partner der eigentlichen Egregor-Hintermänner ins Netz, die bei den genannten Aktivitäten helfen. Trotzdem sollen die Verhaftungen erhebliche Auswirkungen auf die Geschäfte der Cybererpresser haben.

Im Gespräch mit ZDNet USA erklärte Allan Liska, Sicherheitsforscher bei Recorded Future, dass die Befehlsserver von Egregor sowie die Leak-Website der Erpresser mindestens seit vergangenen Freitag offline seien. “Auch wenn kein Banner einer Polizeibehörde gibt, wies es in solchen Fällen üblich ist, ist es für gut ausgerüstete Cyberverbrecher wie Egregor ungewöhnlich, dass ihre gesamte Infrastruktur zur gleichen Zeit ausfällt.”

Egregor gilt als eine der aktivsten Erpresserbanden. Sie ist möglicherweise aus den Ransomware-Gruppe Maze hervorgegangen, die Ende 2019 die Bühne betrat. Die stellte im September 2020 ihren Betrieb ein und nur wenige Wochen später machte Egregor dort weiter, wo Maze aufgehört hatte. Da auch die Partner von Maze aufgefordert wurden, zu Egregor zu wechseln, gehen einige Sicherheitsexperten davon aus, dass Egregor eine Weiterentwicklung von Maze unter neuem Namen ist.

Recorded Future will nach eigenen Angaben bisher 206 Opfer von Egregor gezählt haben. Maze hatte demnach insgesamt 263 Opfer. Laut einem Bericht von Coveware war Egregor zudem die zweitaktivste Ransomware-Gruppe im vierten Quartal 2020. Mit Einnahmen von 40 bis 50 Millionen Dollar soll sie zudem zu den Großverdienern unter den Cybererpressern gehören.