Was ist Maze-Ransomware? Definition und Erläuterung

Maze-Ransomware: Bedeutung und Definition

Bei der Ransomware Maze handelt es sich um einen raffinierten Strang von Windows-Ransomware, die es auf Organisationen weltweit in vielen verschiedenen Branchen abgesehen hat. Wie bei anderen Formen von Ransomware auch, fordert Maze eine Zahlung in Kryptowährung als Gegenleistung für die sichere Wiederherstellung verschlüsselter Daten.

Weigert sich das Opfer zu zahlen, drohen die Kriminellen damit, die gestohlenen vertraulichen Daten zu veröffentlichen. Diese Art der Vorgehensweise ist in neueren Formen von Ransomware wie REvil/Sodinokibi, JSWorm/ Nemty/ Nefilim, Clop und anderen immer häufiger zu beobachten.

Was ist Maze-Ransomware?

Maze wurde zum ersten Mal im Mai 2019 entdeckt und ist eine Variante der ChaCha-Ransomware. Seit Dezember 2019 ist Maze sehr aktiv und sucht sich seine Opfer in zahlreichen unterschiedlichen Branchen.

Wie funktioniert Maze?

Folgende Kanäle werden zur Verbreitung von Maze genutzt:

1. Spam-E-Mails, häufig in Form von schädlichen Links oder Anhängen (meist Word- oder Excel-Dateien)
2. Gewaltsame RDP-Angriffe
3. Exploit-Kits

In einigen Fällen geht der Angriff von einem Kunden oder Partner eines Unternehmens aus, der den Hackern bereits zum Opfer gefallen ist. Sobald ein Netzwerk gekapert wurde, macht sich Maze daran, seine Zugriffsberechtigungen zu erhöhen, um Dateien über alle Laufwerke hinweg zu verschlüsseln. Maze ist auch deswegen besonders gefährlich, weil es die gefundenen Daten auf die Server der Angreifer auslagert, die dann mit Bloßstellung drohen, sollte die Lösegeldforderung nicht erfüllt werden.

Die betroffenen Organisationen können dann zwar ihre Daten aus einem sicheren Backup wiederherstellen und weiterarbeiten (sofern nicht auch das Backup befallen ist), sind aber machtlos gegenüber der Tatsache, dass die Kriminellen über Kopien der Unternehmensdaten verfügen. Im Wesentlichen ist Maze eine Kombination aus Ransomware-Angriff und Datenschutzverletzung.

Die Webseite der Maze-Ransomware

Die Autoren von Maze betreiben eine Webseite, auf der sie eine Liste ihrer Opfer pflegen (die sie als „Kunden“ betiteln). Auf dieser Seite veröffentlichen sie als eine Art Maßregelung immer wieder auch Beispiele gestohlener Daten. Zu den veröffentlichten Details gehört auch das Datum des jeweiligen Maze-Angriffs sowie Links zum Download gestohlener Daten und Dokumenten als „Nachweis“. Der provozierende Slogan der Webseite lautet „Keeping the world safe“. Es werden sogar Schaltflächen zum Teilen der Details einer Datenschutzverletzung auf den sozialen Medien angeboten.

Auf der Webseite der Maze-Ransomware wird den Opfern auch mitgeteilt, was sie bei Nichtzahlung des Lösegelds erwartet:

• Veröffentlichung von Details der Sicherheitsverletzungen und Weitergabe an die Medien
• Verkauf der gestohlenen Daten mit kommerziellem Wert im Darknet
• Benachrichtigung der relevanten Börsen, um durch Bekanntwerden des erfolgreichen Hacker-Angriffs und des Verlusts von sensiblen Daten, den Aktienkurs des Unternehmens auf Talfahrt zu schicken
• Nutzung der gestohlenen Daten, um Kunden und Partner anzugreifen und sie darüber zu informieren, dass das Unternehmen gehackt wurde

Man geht davon aus, dass Maze über ein angeschlossenes Netzwerk betrieben wird, in dem die Entwickler die Beute mit verschiedenen Gruppen teilen, die Maze in Umlauf bringen.

Im Jahr 2020 schlossen sich die Kriminellen hinter Maze mit zwei weiteren cyberkriminellen Gruppen, LockBit und RagnarLocker, zu einem regelrechten Ransomware-Kartell zusammen. Die Kriminellen bündelten so ihre Kräfte und veröffentlichten Daten, die von diesen Gruppen gestohlen wurden, auf der Maze-Webseite. Im Rahmen dieser neuen Form der Zusammenarbeit setzte Maze Ausführungstechniken ein, die zuvor ausschließlich von RagnarLocker eingesetzt wurden.

Die Maze-Ransomware vor dem Aus?

Ende 2020 kündigte die Maze-Gruppe in einer weitschweifigen Erklärung ihre Auflösung an. Man erklärte, dass die eigene Webseite nicht mehr aktualisiert würde und dass Opfer über einen Support-Chat die Entfernung ihrer Daten von der Seite beantragen könnten.

Die Gruppe behauptete, man habe die Angriffe initiiert, um das Bewusstsein für Cybersicherheit zu schärfen. Gleichzeitig wurde die haarsträubende Behauptung aufgestellt, die Gruppe sei eine reine Kopfgeburt von Journalisten gewesen, die so eigentlich nie existiert habe.

Außerdem hätte man auch Zugriff auf die IT-Verwaltungssysteme des Staates New York und mehrere Internet Service Provider (ISPs) gehabt, sich aber entschlossen, diese nicht anzugreifen.

Die Behauptung der Gruppe, man habe sich aufgelöst, ist mit Vorsicht zu genießen. In einem ähnlichen Vorstoß hatten auch schon die Betreiber der Ransomware GandCrab ihre Auflösung verkündet, nur um mit Revil/ Sodinokibi erneut zuzuschlagen. Es gibt offensichtliche Gemeinsamkeiten zwischen Maze und zwei neu auftauchenden Ransomware-Stämmen, die als Egregor und Sekhmet agieren – was einen starken Hinweis liefert, dass die Gruppe einfach auf eine neue Welle von Cyberangriffen umgesattelt hat.

Beispiele für Angriffe der Ransomware Maze

Zu den bemerkenswerten Beispielen für Opfer der Maze-Ransomware gehören:

Maze-Angriff auf Cognizant

Cognizant, ein Fortune-500-Unternehmen und einer der größten Anbieter von IT-Services weltweit, gehört wohl zu den namhaftesten Opfern der Ransomware Maze.

Im April 2020 wurde Cognizant Ziel eines Angriffs der Maze-Gruppe, bei dem die Services für seine Kunden zum Erliegen gebracht wurden. Einige der internen Systeme wurden dabei verschlüsselt und abgeschaltet, woraufhin noch weitere Systeme offline genommen werden mussten.

Der Angriff fand in einer frühen Phase der Covid-19-Pandemie statt, als zahlreiche Mitarbeiter dabei waren, auf Homeoffice umzustellen. Mit dem Zusammenbruch der zum Betrieb der virtuellen Desktop-Infrastruktur notwendigen Computersysteme waren auch die Mitarbeiter nur noch eingeschränkt arbeitsfähig. Interne Verzeichnisse wurden gelöscht, so dass Mitarbeiter kaum noch untereinander und Vertriebsteams nicht mit Interessenten und Kunden kommunizieren konnten. In einigen Fällen konnte auf E-Mails gar nicht mehr zugegriffen werden.

Einige Kunden sperrten im Sinne des Eigenschutzes Cognizant den Zugang zu ihren Netzwerken, wodurch in letzter Konsequenz ganze Projekte auf Eis gelegt wurden. Zur Unterstützung der eigenen IT-Sicherheitsteams zog Cognizant führende Cybersicherheitsexperten hinzu. Der Ransomware-Angriff auf Cognizant wurde auch den Strafermittlungsbehörden gemeldet und die Kunden von Cognizant erhielten regelmäßige Updates.

In einer Benachrichtigung über die Datenschutzverletzung sprach Cognizant die Warnung aus, dass personenbezogene Daten wie Sozialversicherungs- und Steuernummern, Finanzdaten, Führerscheine und Pässe gestohlen worden sein könnten. Mitarbeiter mit Firmenkreditkarten wurden darauf hingewiesen, dass sie wahrscheinlich von dem Angriff betroffen seien. Den Betroffenen bot Cognizant für ein Jahr eine kostenlose Überwachung auf Identitätsdiebstahl unter anderem im Darknet an.

Der Ransomware-Angriff von Maze auf Cognizant kostete das Unternehmen unmittelbar nach dem Angriff schätzungsweise zwischen 50 und 70 Mio US-Dollar, zuzüglich weiterer Folgekosten für die vollständige Wiederherstellung der Computersysteme.

Zu den Kunden von Cognizant gehören die Finanzdienstleister ING und Standard Life, der Automobilhersteller Mitsubishi Motors sowie der Personaldienstleister PeopleSoft. Welche Kunden von dem Angriff betroffen waren, wurde nicht offengelegt.

Maze-Angriff auf Canon

Im August 2020 wurde berichtet, dass Canon Opfer einer Ransomware-Attacke von Maze geworden war. Die Bande griff bis zu 10 TB an Daten ab. Betroffen waren etwa 25 verschiedene Canon-Domänen sowie eine Reihe von internen Programmen wie E-Mail-Dienste und Kollaborationsservices.

Auch Nutzer eines 10 GB großen kostenlosen Speicherdienstes waren in Mitleidenschaft gezogen. Canon musste einräumen, dass Daten oder Bilder, die vor dem 16. Juni 2020 gespeichert wurden, verloren seien, erklärte aber auch, es seien keine Image-Daten entwendet worden. Online finden sich noch immer Miniaturansichten dieser Daten, auch wenn man sie nicht öffnen kann. Beim Klicken auf einen der Schnappschüsse öffnete sich nur eine Fehlermeldung der Webseite.

Maze-Angriff auf Xerox

Im Juli 2020 verkündeten die Ransomware-Betreiber, dass Maze in die Systeme von Xerox eingedrungen sei, und drohten bei Nichtzahlung eines Lösegelds, riesige Datenmengen zu veröffentlichen. Die Gruppe stellte 10 Screenshots auf ihre Webseite online als Nachweis für den erfolgreichen Vorstoß. Den Screenshots war zu entnehmen, dass sich die Bande Daten im Zusammenhang mit dem Kundensupport angeeignet hatte.

Maze-Angriff auf die Stadtverwaltung von Pensacola

Ende 2019 war die Stadt Pensacola in Florida Ziel eines Angriffs. Die Ransomware-Gruppe Maze drohte damit, Daten zu veröffentlichen, wenn nicht ein Lösegeld in Höhe von 1 Million US-Dollar gezahlt würde. Berichten zufolge hatte die Gruppe mehr als 32 GB an Daten von den infizierten Systemen der Stadt entwendet. Davon wurden 2 GB öffentlich gemacht, um nachzuweisen, dass der Angriff erfolgreich war.

In der Folge des Ransomware-Angriffs von Maze kamen die Online-Zahlungsdienste von Pensacola Energy und der Stadtreinigung der City of Pensacola zum Stillstand. Zum Glück für die Einwohner der Stadt waren andere Dienste wie Polizei und Feuerwehr nicht betroffen.

Sollte man den Lösegeldforderungen der Maze-Ransomware nachkommen?

Die Empfehlung lautet: Nein. Je mehr Menschen bezahlen, desto wahrscheinlicher sind ähnliche Angriffe auf andere Ziele in der Zukunft.

Nichtsdestotrotz entsteht bei einigen Unternehmen der Eindruck, dass ihr Unternehmen ohne Lösegeldzahlung vor dem Aus stünde. Es gibt keine einfachen Antworten und letztendlich muss das jede Organisation anhand der Gegebenheiten selbst entscheiden. Wie auch immer die Entscheidung ausfällt: In jedem Fall sollte man die Strafverfolgungsbehörden einschalten und eng mit ihnen zusammenarbeiten, damit die Drahtzieher ermittelt werden können.

Unabhängig davon, ob Organisationen bezahlen, müssen die Sicherheitsprobleme aufgedeckt werden, die überhaupt erst zu dem Angriff geführt haben. Organisationen müssen herausfinden, was schiefgelaufen ist und wie man derartige Cyberangriffe in der Zukunft verhindern kann.

Als Reaktion auf die Vorgehensweise der Maze-Malware rät das FBI Unternehmen, schon heute Pseudodaten-Caches anzulegen. Mit vorgetäuschten Datensammlungen wie diesen soll es Hackern schwerer gemacht werden, an die wirklich wichtigen Dateien zu kommen.

So schützen Sie sich vor Angriffen der Maze-Ransomware

Ransomware entwickelt sich ständig weiter. Die beste Verteidigung ist vorausschauende Prävention, denn sobald die Daten von Malware oder Hackern verschlüsselt wurden, ist es für eine Wiederherstellung oft zu spät.

Tipps für Organisationen zur Vermeidung von Ransomware-Angriffen:

1. Software und Betriebssysteme auf dem neuesten Stand halten

Regelmäßige Updates von Software und Betriebssystemen schützen vor Malware. Installieren Sie Patches und Updates für Software wie Microsoft Office, Java, Adobe Reader, Adobe Flash sowie Internetbrowser wie Internet Explorer, Chrome, Firefox, Opera etc., einschließlich der Browser-Plugins. Bei jedem Update werden auch die neuesten Sicherheits-Patches installiert, was es Cyberkriminellen schwerer macht, Schwachstellen in Ihrer Software auszunutzen.

2. Sicherheitssoftware verwenden

Aufgrund der rasanten Ausweitung von Cyberkriminalität ist Ransomware-Schutz heute wichtiger denn je. Schützen Sie Ihre Computer vor Ransomware mit einer umfassenden Internet-Sicherheitslösung wie Kaspersky Internet Security. Beim Downloaden oder Streamen blockiert die Software infizierte Dateien, verhindert, dass sich Ransomware auf ihrem Computer einnistet, und hält Cyberkriminelle auf Abstand.

3. Einsatz von VPN für den Netzwerkzugang

Greifen Sie per VPN auf Ihr Netzwerk zu statt das Remote Desktop Protocol (RDP) dem Internet auszusetzen. Kaspersky Secure Connection schützt Ihre Privatsphäre im Netz und bietet Zugang zu globalen Inhalten.

4. Datensicherungen

Erstellen Sie regelmäßig Daten-Backups und speichern Sie sie an einem sicheren, externen Standort, damit Sie im Falle eines Angriffs gestohlene Daten wiederherstellen können. Das lässt sich durch automatische Backups ganz einfach verwirklichen und ist in jedem Fall besser, als sich darauf zu verlassen, dass ein Nutzer an die routinemäßige Datensicherung denkt. Backups sollten außerdem regelmäßig getestet werden, um sicherzustellen, dass die Datenspeicherung funktioniert.

5. Mitarbeiter über Cybersicherheitsrisiken aufklären und informieren

Organisationen sollten sicherstellen, dass ihre Mitarbeiter die Methoden kennen, mit denen Cyberkriminelle Organisationen elektronisch zu unterwandern suchen. Bieten Sie allen Mitarbeitern Schulungen zu den Best Practices in der Cybersicherheit an, wie zum Beispiel:

• Klicken Sie möglichst keine Links in Spam-E-Mails oder auf unbekannten Webseiten an. Downloads, die starten, wenn man auf schädliche Links klickt, sind eine mögliche Infektionsquelle für Computer.
• Laden Sie möglichst keine Software oder Mediendateien von unbekannten Webseiten herunter.
• Öffnen Sie möglichst keine E-Mail-Anhänge von Absendern, denen Sie nicht vertrauen. Sehen Sie sich den Absender der E-Mail an und vergewissern Sie sich, dass die E-Mail-Adresse korrekt ist. Öffnen Sie einen Anhang erst, wenn Sie sicher sind, dass er echt aussieht. Wenn Sie Zweifel haben, fragen Sie bei der Person nach, die ihn geschickt hat.
• Wenn Sie in einem Anruf, einer SMS oder einer E-Mail von einer nicht vertrauenswürdigen Quelle zur Herausgabe von persönlichen Daten aufgefordert werden, tun Sie das nicht.
• Nutzen Sie für Remote-Verbindungen im lokalen Unternehmensnetzwerk ausschließlich sichere Technologien.
• Verwenden Sie Endpoint Security mit Verhaltenserkennung und automatischem Rollback für Dateien wie Kaspersky Endpoint Security for Business.
• Nutzen Sie zum Schutz von vertraulichen Daten und Konten schwer zu erratende, eindeutige Passwörter sowie die Multi-Faktor-Authentifizierung.
• Verschlüsseln Sie vertrauliche Daten, wann immer möglich.

Ganz gleich, ob sich die Maze-Gruppe auflöst oder einfach nur in einer anderen kriminellen Vereinigung aufgeht: Die Bedrohung durch Ransomware bleibt bestehen. Wie immer ist Wachsamkeit gefragt, um angesichts der sich stetig entwickelnden Cyberbedrohungen die Nase vorn zu behalten.

Verwandte Artikel:

• Arten von Ransomware
• So verhindern Sie Ransomware-Angriffe
• Welche unterschiedlichen Arten von Ransomware gibt es?
• Was ist das Popup „Ransomware erkannt“?
• Was ist eine Sicherheitsverletzung?