Egregor Ransomware-Befall bei Randstad-Zeitarbeit

[English]Der weltweit aktive Anbieter von Zeitarbeit, die Firma Randstad, ist Opfer einer Egregor Ransomware-Infektion geworden. Die Angreifer infizierten die Server des Unternehmens und hatten Zugang zu Daten über die Aktivitäten von Randstad in den Vereinigten Staaten, Polen, Italien und Frankreich.

Randstad wurde in den Niederlanden gegründet und ist heute auf fünf Kontinenten tätig. Es ist eine der größten Zeitarbeitsfirmen der Welt mit einem Umsatz von 23,7 Milliarden Euro in 2019. Wie das Unternehmen am Donnerstag, den 3. Dezember 2020, mitteilte, wurde der Cyberangriff kürzlich entdeckt. Dieses niederländische Medium berichtet von einem Hack und dass die Hacker in die Server des Unternehmens eingedrungen seien. In der Pressemitteilung heißt es:

Randstad statement on cyber incident.

03/12/2020

Randstad NV ("Randstad") recently became aware of malicious activity in its IT environment and an internal investigation into this incident was launched immediately with our 24/7 incident response team. Third party cyber security and forensic experts were engaged to assist with the investigation and remediation of the incident.

Prompt global action was taken to mitigate the incident while further protecting Randstad's systems, operations and data. As a result, a limited number of servers were impacted. Our systems have continued running without interruption and there has not been any disruption to our operations. Based on our current investigation there is no indication that any third party systems were impacted. Relevant regulatory authorities and law enforcement agencies have been notified.

To date, our investigation has revealed that the Egregor group obtained unauthorized and unlawful access to our global IT environment and to certain data, in particular related to our operations in the US, Poland, Italy and France. They have now published what is claimed to be a subset of that data. The investigation is ongoing to identify what data has been accessed, including personal data, so that we can take appropriate action with regard to identifying and notifying relevant parties.

The protection of our client and talent data is our highest priority and we are dedicating significant resources to deal with this regrettable incident. Unfortunately, Randstad is not alone in this situation as cyber criminals have become increasingly sophisticated and aggressive in recent months, resulting in many organizations suffering such attacks.

Daten abgezogen

Randstad engagierte Cyber-Sicherheitsexperten und forensische Ermittler, um den Cyberangriff zu untersuchen. Die Untersuchung ergab, dass eine Hacker-Gruppe namens Egregor hinter dem Cyber-Angriff steckt. Klar ist wohl auch, dass Daten entwendet wurden. Die Untersuchung ist derzeit noch nicht abgeschlossen, so dass nicht bekannt ist, welche Daten abgezogen wurden. Die Egregor-Gruppe hat aber einige der gestohlenen Daten veröffentlicht. Es ist noch nicht klar, wie groß der Umfang der Datenschutzverletzung ist.

Bleeping Computer berichtet hier, dass die Egregor-Ransomware-Gruppe ein 32,7 MB großes Archiv mit 184 Dateien, darunter Tabellenkalkulationen, Finanzberichte, Rechtsdokumente und andere verschiedene Geschäftsunterlagen aus dem Angriff veröffentlicht hat. Das sollen etwa 1% der erbeuteten Randstad-Daten entsprechen.

Erst als die Daten durch die Ransomware-Gruppe veröffentlicht wurden, hat Randstad den Fall öffentlich gemacht. Das Unternehmen hat den Cyberangriff auch den zuständigen Aufsichtsbehörden und Ermittlungsdiensten gemeldet. rotz des Hacks konnte Randstad weiterarbeiten.

Wer ist Egregor

Egregor ist eine neue organisierte Cybergang, die Ransomware-as-a-service nutzt und mit anderen Cyberkriminellen Vereinbarungen tretten. Die Gruppe versucht Netzwerke zu kompromittieren und diese mit ihrer Ransomware zu infizieren, um ihre Lösegeldforderung stellen zu können. Als Teil dieser Vereinbarung verdienen die Mitgliedsorganisationen 70% aller Lösegeldzahlungen, die sie einbringen, und die Egregor-Betreiber erhalten einen Umsatzanteil von 30%.

Egregor nahm ihre Tätigkeit Mitte September 2020 auf, nachdem die Ransomware-Gang Maze ihren Betrieb eingestellt hatte. BleepingComputer schreibt, dass viele Cyberkriminelle die mit Maze arbeiteten, zu Egregor wechselten. Egregor ist für Ransomware-Angriffe auf Cencosud, Crytek, Ubisoft und Barnes and Noble verantwortlich.