Maze Ransomware verschlüsselt und stiehlt vertrauliche Daten und setzt seine Opfer so noch mehr unter Druck, das Lösegeld zu zahlen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Maze ist ein Ransomware-Stamm*, der seit 2019 Unternehmen angreift. Obwohl Maze von einer bestimmten Gruppe entwickelt wurde, haben mehrere Angreifer Maze für Erpressungszwecke verwendet.
Die meisten Betreiber von Maze verschlüsseln die Daten nicht nur, sondern kopieren sie auch und drohen, sie weiterzugeben, wenn das Lösegeld nicht gezahlt wird. Eine Maze-Ransomware-Infektion kombiniert die negativen Auswirkungen von Ransomware (Datenverluste, Produktivitätseinbußen) mit denen einer Datenschutzverletzung (Datenlecks, Verletzung der Privatsphäre). Daher sind sie für Unternehmen besonders problematisch.
*Ransomware ist eine Malware, die Dateien und Daten durch Verschlüsselung sperrt. Den Opfern wird gesagt, dass sie ihre Dateien und Daten nur zurückbekommen, wenn sie dem Angreifer ein Lösegeld zahlen.
Als die Ransomware Maze zum ersten Mal zum Einsatz kam, wurde sie meist über böswillige E-Mail-Anhänge verbreitet. Neuere Angriffe kompromittieren Netzwerke auf andere Weise, bevor sie die Ransomware-Nutzlast abwerfen. So wurden bei vielen Maze-Ransomware-Angriffen gestohlene oder erratene Remote-Desktop-Protocol-Anmeldedaten (Kombinationen aus Benutzername und Kennwort) verwendet, um in ein Netzwerk einzudringen. Andere Angriffe begannen mit der Kompromittierung eines anfälligen VPN-Servers (Virtual Private Network).
Sobald sich Maze in einem Netzwerk befindet, führt es die folgenden Schritte aus:
„Exfiltrieren“ bedeutet, Daten ohne Genehmigung aus einem vertrauenswürdigen Bereich verschieben. In der Regel exfiltriert Maze Daten, indem sie sich mit einem FTP-Server (File Transfer Protocol) verbindet und Dateien und Daten auf diesen Server kopiert und zusätzlich verschlüsselt. Die Angreifer haben für diese Aktionen die Dienstprogramme PowerShell und WinSCP verwendet.
In einigen Fällen wurden die exfiltrierten Daten nicht direkt auf einen FTP-Server, sondern auf einen Cloud File Sharing Service übertragen.
Die Ransomware-Gruppe, die Maze erstellt hat, betrieb mehrere Jahre lang eine Website im Dark Web. Auf der Website wurden gestohlene Daten und Dokumente als Beweis für frühere Angriffe veröffentlicht und Links zu sozialen Medien angegeben, über die die gestohlenen Daten verbreitet werden konnten.
In einem Beitrag auf ihrer Website im November 2020 behauptete die Maze-Gruppe, dass sie ihren Betrieb einstellen würde. Wie so oft bei Ransomware-Gruppen ist es jedoch möglich, dass sie unter einem anderen Namen weiter aktiv sind.
Der Cognizant Maze Ransomware-Angriff war ein großer Vorfall, der sich im April 2020 ereignete. Cognizant ist ein IT-Provider für Unternehmen auf der ganzen Welt. Der Angriff kompromittierte das Netzwerk von Cognizant und führte möglicherweise auch zum Diebstahl vertraulicher Daten seiner Kunden (Cognizant gab nicht bekannt, welche seiner Kunden von dem Angriff betroffen waren). Es dauerte mehrere Wochen, bis Cognizant seine Dienste vollständig wiederherstellen konnte, sodass die Geschäftsprozesse vieler Kunden in dieser Zeit verlangsamt oder angehalten wurden.
Cognizant schätzte die durch den Angriff entstandenen Verluste auf 50 bis 70 Millionen Dollar.
Andere Maze-Opfer sind WorldNet Telecommunications, Columbus Metro Federal Credit Union, die American Osteopathic Association und VT San Antonio Aerospace.
Diese Schritte können einen Angriff durch die Ransomware Maze weit weniger wahrscheinlich machen:
Cloudflare One ist eine Zero Trust Network-as-a-Service-Plattform (NaaS), die Nutzer, Büros und Rechenzentren sicher miteinander verbindet. Erfahren Sie mehr über Cloudflare One und wie es Ransomware-Angriffen entgegenwirkt.