Was ist Maze Ransomware und wie schützt man sich davor?
Maze-Ransomware erschien erstmals im Mai 2019. Maze ist der Name der Hackergruppe, die es erstellt hat, aber das Maze-System wurde nicht von ihnen gestartet. Stattdessen verleiht die Maze-Gruppe die Software an andere Hackergruppen, die Ziele im Auge haben. Der Angreifer und der Anbieter der Ransomware teilen sich dann den durch das Lösegeld erzielten Gewinn
Das Maze-System wird nicht in Listenmailings verbreitet. Es wird als Teil von verwendet eine gezielte Kampagne Dazu gehört auch Doxing, also das Profiling von Personen. Der Umfang der Recherche, die in jeden Angriff gesteckt wird, ist kostspielig und zeitaufwändig. Dieser Aufwand lohnt sich, denn die Ransomware Maze kann netzwerkübergreifend sein. Es wird hauptsächlich verwendet, um auf Cloud-Dienste zuzugreifen und dann in das Netzwerk jedes einzelnen Kunden dieses Dienstes zu gelangen.
Inhalt [ verstecken ]
- Wie gelangt Maze-Ransomware in ein Netzwerk?
- Wie infiziert Maze ein System?
- Wie kommt es zu einem Maze-Ransomware-Angriff?
- Woher kommt Maze?
- Wie man mit Maze-Ransomware umgeht
Wie gelangt Maze-Ransomware in ein Netzwerk?
Hacker, die Maze verwenden, benötigen ein gültiges Benutzerkonto, und so ist die erste Phase eines Maze-Angriffs Speerfischen . Bei dieser Technik recherchieren Hacker Personen, die in einer Organisation arbeiten, und eröffnen dann ein Gespräch auf der Grundlage einiger Interessen, die diese Person ihrer Meinung nach verfolgt.
Die erste Note könnte ein Mitarbeiter auf niedriger Ebene sein. In diesem Fall hat der Hacker die Möglichkeit zu erklären, wer für diese Abteilung verantwortlich ist und wer möglicherweise in der IT-Abteilung arbeitet. Die Hackergruppe baut schließlich eine auf Organigramm durch diese sozialen Kontakte und findet heraus, wer sie hat privilegierter Zugang zum System. Diese Person wird dann zum primären Ziel. Es sind die Konten auf Systemebene, die die Hacker wollen.
Während einige Mitglieder des Hackerteams versuchen, Mitarbeiter auszutricksen, versuchen andere Mitglieder auf herkömmliche Weise in das System einzudringen, indem sie häufig verwendete Passwörter, Standardpasswörter des Herstellers oder einen Passwort-Cracker verwenden, um wichtige Zugangspunkte in das Netzwerk zu gelangen. Die Gruppe wird auch versuchen, eine zu bekommen Fernzugriffs-Trojaner auf ein Gerät mit einem Infizierten .docx Datei als E-Mail-Anhang. Auf die eine oder andere Weise kann die Gruppe ein Benutzerkonto erwerben.
Wie infiziert Maze ein System?
Sobald sich Maze auf einem Gerät befindet, wird es betreten eine Forschungsphase , unter Verwendung bekannter Systemprüftools wie smbtools.exe, Adfind, BloodHound, PingCastle sowie Systemüberwachung Entdeckung Werkzeuge. Es wird nach Netzwerkschwachstellen gesucht. Der Virus sucht nach offenen SMB-Zugriffen, Netzwerkgerätekonfigurationseinstellungen und der Möglichkeit, darauf zuzugreifen Active Directory Instanzen.
Zu den Betriebssystem-Tools, die die Maze-Ransomware einsetzt, gehören: Link-Local-Multicast-Namensauflösung (LLMNR) Sendungen und die NetBIOS-Namensdienst (NBT-NS) um zu versuchen, andere Computer und Geräte zu identifizieren. Es wird auch erfasst NT LAN Manager (NTLM) Pakete, die Anmeldeinformationen enthalten. Es wird auch bereitgestellt Mimikatz auf jedem infizierten Endpunkt, um zu versuchen, Benutzeranmeldeinformationen zu ermitteln. Wenn das Maze-Paket an den Namen eines Benutzerkontos gelangt, nutzt es verschiedene Techniken, um an das Passwort zu gelangen.
Die Ransomware wird ausgegeben einige Tage Erkunden Sie das System, kartieren Sie das Netzwerk und stellen Sie so viel wie möglich aus der Zugriffsrechtestruktur zusammen. Das Virus wirkt auf eine sehr ähnliche Weise wie normale Viren Systemüberwachung und Management-Tools. Es wird versucht, Zugriff auf andere Endpunkte im Netzwerk zu erhalten. Wenn es sich bei dem System um einen Managed Service Provider handelt, versucht der Virus, eine Verbindung zu Client-Systemen herzustellen und beginnt mit der Forschungsphase.
Bei der Untersuchung jedes neu aufgerufenen Endpunkts wird der Virus entdeckt sucht nach Nur-Text-Dateien die möglicherweise Benutzerkontoinformationen enthalten. Es wird auch versucht, Passwörter mit Brute-Force-Methode zu knacken, um in Benutzer- und Systemkonten auf dem Gerät einzudringen. Das System hat Zeit und wird weiterhin verschiedene Geräte durchsuchen und andere Scantechniken anwenden, um Benutzerkonten zu finden.
Sobald Maze Benutzeranmeldeinformationen findet, kann es sich mithilfe von schneller im Netzwerk bewegen KMU Und RPC Dienste zum Senden von Dateien und Software an andere Geräte und möglicherweise die zentralen Server des Systems. Der Virus wird auch erstellt seine Benutzerkonten um in den Access Rights Management (ARM)-Dienst für das Zielnetzwerk zu gelangen.
Die Hauptschwierigkeit bei der Bekämpfung von Maze liegt in seiner Fähigkeit, auf neue Geräte umzusteigen. Sobald es sich auf einem anderen Gerät befindet, infiziert dieses zusätzliche Modul alle anderen Geräte im Netzwerk. Wenn also das Ransomware-Programm auf einem Gerät entdeckt und entfernt wird, kann dieses Gerät schnell entfernt werden erneut infiziert von einem anderen infizierten Gerät.
Wie kommt es zu einem Maze-Ransomware-Angriff?
Maze verbreitet sich sehr schnell in einem Netzwerk. Sein ultimatives Ziel ist es alle Datendateien verschlüsseln ein Lösegeld verlangen. Ein Grund dafür, dass das System die Auslösung dieser Verschlüsselung verzögert, liegt darin, dass die Hacker hinter der Software dies auch wollen diese Daten stehlen . Wenn es also an einem neuen Endpunkt ankommt, sucht es nach Dateien, stellt eine Verbindung zum Internet her und überträgt diese Dateien dann hinaus. Das Team droht später damit den Inhalt freigeben dieser Dateien an die Öffentlichkeit oder die Hacker-Community weiterzugeben, um Opfer zur Zahlung des Lösegelds zu motivieren.
Sobald alle Daten gestohlen wurden, beginnt die Maze-Verschlüsselung. Die Verschlüsselung erfolgt mit zwei Chiffren, nämlich ChaCha20 Und RSA . ChaCha20 ist eine Variation der Salsa20-Chiffre. RSA ist ein asymmetrisches Verschlüsselungssystem, das häufig als Teil des SSL-Sicherheitssystems verwendet wird. Die Maze-Implementierung von RSA verwendet einen 2048-Bit-Schlüssel. ChaCha20 verwendet einen 256-Bit-Schlüssel.
Da jede Datei verschlüsselt sei, fügt Maze hinzu eine zusätzliche Erweiterung am Ende seines Namens. Dabei handelt es sich um eine zufällige Folge von vier bis sieben Zeichen. Wenn alle Dateien auf dem Gerät verschlüsselt wurden, ändert Maze das Hintergrundbild des Desktops des Computers, um die Lösegeldforderung anzuzeigen.
Der Benutzer wird zu einer Textdatei weitergeleitet, die die Ransomware auf das Gerät kopiert hat. Das nennt man DECRYPT-FILES.txt . Es erklärt die Verwendung eines Entschlüsselers, der auch auf das Gerät kopiert wird. Dieses Dienstprogramm verfügt über einen Entschlüsselungsmesser und ermöglicht die kostenlose Entschlüsselung von drei Dateien. Durch die Zahlung des Lösegelds werden Credits für den Entschlüsseler gekauft. Einen Preis nennt der Bildschirm nicht.
Während die Lösegeldforderung auf dem Bildschirm des angegriffenen Computers angezeigt wird, spielt Maze auch eine Audiodatei ab, eine sich wiederholende Sprachnachricht, die als Alarm fungiert.
Die Datei DECRYPT-FIES.txt erklärt, dass das Opfer dies getan hat 3 Tage Kontakt mit den Hackern aufzunehmen, oder sie veröffentlichen eine Benachrichtigung über den Angriff auf ihrer Website. Dies wäre schädlich, da es dazu führen könnte, dass Partnerunternehmen, die eine Risikoanalyse durch Dritte durchführen, sich aus der Zusammenarbeit mit dem betroffenen Unternehmen zurückziehen. Wenn das Opfer die Gruppe innerhalb nicht kontaktiert sieben Tage , wird die Maze-Gruppe alle gestohlenen Daten freigeben.
Die Gefahr der Datenfreigabe ist groß, da dadurch Wiederherstellungsstrategien blockiert werden, die Unternehmen möglicherweise nicht bezahlen müssen, wie etwa das Löschen und Wiederherstellen aus Backups. Die Gruppe ist von ihrer Macht und ihrem Angebot sehr überzeugt Live-Chat-Unterstützung wenn der Systemadministrator Schwierigkeiten hat, den Deskriptor zu verwenden.
Das Opfer muss die Maze-Website öffnen ein Tor-Browser um Zahlungsanweisungen zu erhalten und anschließend den Entschlüsselungsschlüssel zu erhalten. Die Gruppe verspricht außerdem, alle gestohlenen Daten zu löschen, sobald die Zahlung erfolgt ist.
Für die Ransomware Maze gibt es kein festes Lösegeld. Denken Sie daran, dass die Gruppe mit anderen Cyberkriminalitätssyndikaten zusammenarbeitet und die Zahlung aufteilt und jeder Partner unterschiedliche Einkommenserwartungen hat. Es ist jedoch bekannt, dass Maze Die Lösegelder sind sehr hoch . Die gemeldeten Forderungen liegen zwischen 6 und 15 Millionen US-Dollar.
Woher kommt Maze?
Die Hacker hinter Maze gehören nicht zu den großen Gruppen; Tatsächlich haben sie keinen eigenen Namen – sie sind als Maze bekannt, genau wie die Ransomware. Eine Routine innerhalb des Verschlüsselungssystems überprüft die lokale Sprache der Maschine und startet den Verschlüsselungsangriff nicht, wenn es sich bei dieser Sprache um eine Sprache der ehemaligen Sowjetunion oder um Serbisch handelt.
Die Blockade des Eingriffs in Computer, die von Russen oder der Bevölkerung mit Russland verbündeter Staaten genutzt werden, macht es mehr als wahrscheinlich, dass es sich um die Hackergruppe Maze handelt mit Sitz in Russland . Der Code der Maze-Programmsuite ist übersichtlich und ausreichend kommentiert. Dies weist darauf hin, dass es sich um die Ersteller des Systems handelt professionelle Programmierer . Der Code ist fehlerfrei und funktioniert gut.
Das System umfasst mehrere Verschleierungstechniken und besteht aus mehreren Modulen, die sich gegenseitig unterstützen und Daten austauschen. Dies weist darauf hin, dass die Ransomware von entwickelt wurde erfahrene Systemdesigner und von Projektmanagern geleitet. Seine Entwicklung umfasste umfassende Tests. Maze ist also nicht das Produkt von Amateuren, sondern das Produkt einer gut organisierten Gruppenarbeit.
Wie man mit Maze-Ransomware umgeht
Eine gute Neuigkeit über Maze ist, dass die Gruppe dies am 1. November 2020 bekannt gab Angriffe einstellen . Es gibt jedoch keinen Grund, ihnen zu glauben. Das Fehlen gemeldeter Angriffe ist auch kein Hinweis darauf, dass keine Angriffe stattgefunden haben. Wenn es einen Waffenstillstand gegeben hat, kann niemand darauf vertrauen, dass er dauerhaft sein wird.
Die Gefahr der Offenlegung von Daten macht es schwierig, eine Lösegeldforderung von Maze zu ignorieren. Wenn Ihr Unternehmen an einen Datenschutzstandard gebunden ist, z HIPAA , PCI DSS , oder DSGVO , könnten die Bußgelder und Entschädigungen, die Sie für diese Offenlegung zahlen müssten, am Ende mehr kosten als das Lösegeld. Die Maze-Gruppe war sehr clever.
Die einzige todsicherer Weg Um einen Maze-Angriff zu überleben, muss man ihn von vornherein verhindern. Glücklicherweise blockieren einige hervorragende Malware-Abwehrsysteme die Maze-Ransomware. Möglicherweise kommt die Maze-Gruppe mit einer modifizierten Version zurück, die die Erkennungssysteme umgeht, die zur Erkennung des ursprünglichen Maze eingerichtet wurden. Es stehen jedoch Antimalware-Optionen zur Verfügung zukunftssicher weil sie eher nach anomalen Aktivitäten als nach bestimmten Dateinamen suchen. Dies ist besonders nützlich für Maze, das eher wie eine Insider-Bedrohung als wie ein Virenangriff wirkt.
Erwägen Sie die folgenden Sicherheitssysteme zum Schutz vor Maze-Ransomware.
1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)
CrowdStrike Falcon Insight ist eine gute Wahl zur Bekämpfung der Maze-Ransomware. CrowdStrike verfügt über ein Forschungslabor und weiß alles über Maze und seine Funktionsweise. Daher sind in dieses Paket Blockierungsroutinen gegen die Ransomware integriert.
Das Insight-System bietet eine koordinierte Abdeckung von alle Endpunkte . Dies ist sehr nützlich für das Problem von Maze, wenn es seine Software auf einem Endpunkt neu installiert, der von einem anderen infizierten Endpunkt bereinigt wurde.
Insight befindet sich in der Cloud und empfängt Berichte von endpunktresidenten Modulen. Die auf jedem Endpunkt installierte Überwachungssoftware wird aufgerufen Falcon Prevent , das als eigenständiges Produkt erhältlich ist. Dabei handelt es sich um ein Antivirensystem der nächsten Generation, das nach abnormalem Verhalten sucht. Es lädt Berichte an den Insight-Koordinator hoch. Insight kann sofortige Anweisungen an alle Endpunkte senden, sobald an einem Ort eine Infektion mit Maze entdeckt wird. Somit kann die Entfernung auf allen Geräten im gesamten Netzwerk gleichzeitig erfolgen.
Insight verwaltet Bedrohungsreaktion sowie Erkennung. Zu den Abhilfemaßnahmen können das Sperren des Benutzerkontos, das Isolieren von Geräten vom Netzwerk und das Sperren von Dateien für Active Directory gehören. Insight funktioniert gut dagegen Insider-Bedrohungen Und Einbruch sowie Viren.
Sie können Falcon Prevent 15 Tage lang kostenlos testen.
CrowdStrike Falcon Prevent starten Sie die 15-tägige KOSTENLOSE Testversion
zwei. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus ist ein Schutzsystem für sensible Daten . Wie bereits erläutert, stellt die Gefahr, dass Maze die gestohlenen Daten veröffentlicht, ein ernstes Problem für Unternehmen dar, die einen Datenschutzstandard einhalten. DataSecurity Plus sorgt dafür, dass sensible Daten sicher sind.
Das System durchsucht dann alle Ihre Netzwerke nach Datenspeichern klassifiziert die Daten in jedem. So wissen Sie genau, wo sich alle wertvollen Daten befinden.
Das ManageEngine-System umfasst außerdem a Dateiintegritätsmonitor Das kann diese sensiblen Datenspeicherorte jeweils überwachen und über alle Zugriffsversuche berichten. Dadurch werden die Daten gesperrt, deren Weitergabe Sie sich wirklich nicht leisten können. Wenn wichtige Informationen geschützt sind, können Sie dies vernünftigerweise tun Ignorieren Sie die Bedrohungen durch das Labyrinth selbst wenn sie doch reinkommen. Machen Sie weiter, löschen Sie alle Endpunkte und stellen Sie sie aus dem Backup wieder her.
ManageEngine DataSecurity Plus ist für a verfügbar 30-tägige kostenlose Testversion .