Was ist Maze-Ransomware?

Maze Ransomware verschlüsselt und stiehlt vertrauliche Daten und setzt seine Opfer so noch mehr unter Druck, das Lösegeld zu zahlen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Die Funktionsweise von Maze-Ransomware definieren
  • Beschreiben, wie Maze die Daten verschlüsselt und exfiltriert
  • Erfahren, wie Sie Maze-Ransomware-Angriffe verhindern können

Link zum Artikel kopieren

Was ist Maze-Ransomware?

Maze ist ein Ransomware-Stamm*, der seit 2019 Unternehmen angreift. Obwohl Maze von einer bestimmten Gruppe entwickelt wurde, haben mehrere Angreifer Maze für Erpressungszwecke verwendet.

Die meisten Betreiber von Maze verschlüsseln die Daten nicht nur, sondern kopieren sie auch und drohen, sie weiterzugeben, wenn das Lösegeld nicht gezahlt wird. Eine Maze-Ransomware-Infektion kombiniert die negativen Auswirkungen von Ransomware (Datenverluste, Produktivitätseinbußen) mit denen einer Datenschutzverletzung (Datenlecks, Verletzung der Privatsphäre). Daher sind sie für Unternehmen besonders problematisch.

*Ransomware ist eine Malware, die Dateien und Daten durch Verschlüsselung sperrt. Den Opfern wird gesagt, dass sie ihre Dateien und Daten nur zurückbekommen, wenn sie dem Angreifer ein Lösegeld zahlen.

Wie funktioniert ein Maze-Ransomware-Angriff?

Als die Ransomware Maze zum ersten Mal zum Einsatz kam, wurde sie meist über böswillige E-Mail-Anhänge verbreitet. Neuere Angriffe kompromittieren Netzwerke auf andere Weise, bevor sie die Ransomware-Nutzlast abwerfen. So wurden bei vielen Maze-Ransomware-Angriffen gestohlene oder erratene Remote-Desktop-Protocol-Anmeldedaten (Kombinationen aus Benutzername und Kennwort) verwendet, um in ein Netzwerk einzudringen. Andere Angriffe begannen mit der Kompromittierung eines anfälligen VPN-Servers (Virtual Private Network).

Sobald sich Maze in einem Netzwerk befindet, führt es die folgenden Schritte aus:

  1. Aufklärung: Maze untersucht die Schwachstellen des Netzwerks und identifiziert so viele angeschlossene Computer wie möglich. So garantiert sie, dass die Aktivierung der Ransomware die maximale Wirkung erzielt. Maze scannt unter anderem Active Directory, ein Windows-Programm, das alle autorisierten Nutzer und Computer in einem Netzwerk auflistet. Der Aufklärungsprozess ist in der Regel einige Tage nach dem Eindringen der Angreifer in das Zielnetzwerk abgeschlossen.
  2. Seitwärtsbewegung: Maze nutzt die bei der Aufklärung gewonnenen Informationen, um sich über das Netzwerk zu arbeiten und so viele Geräte wie möglich zu infizieren.
  3. Privilegieneskalation: Wenn sich Maze seitwärts bewegt, stiehlt sie mehr Anmeldeinformationen, sodass sie sich auf weitere Rechner ausbreiten kann. Schließlich erlangt sie in den meisten Fällen Administrator-Anmeldeinformationen, die ihr die Kontrolle über das gesamte Netzwerk geben.
  4. Widerstandsfähigkeit: Maze verwendet eine Reihe von Techniken, um sich der Löschung zu widersetzen. So kann sie beispielsweise Hintertüren (versteckte Wege zur Umgehung von Sicherheitsmaßnahmen) in das Netzwerk einbauen, damit sie erneut installiert werden kann, sollte sie entdeckt und entfernt werden.
  5. Angriff: Schließlich beginnt Maze mit dem Verschlüsseln und Exfiltrieren von Daten. Sobald die Daten verschlüsselt sind, zeigt oder sendet Maze eine Lösegeldforderung, in der das Opfer darüber informiert wird, wie es bezahlen, seine Daten entsperren und ein Datenleck verhindern kann.

Wie exfiltriert Maze Daten?

Exfiltrieren“ bedeutet, Daten ohne Genehmigung aus einem vertrauenswürdigen Bereich verschieben. In der Regel exfiltriert Maze Daten, indem sie sich mit einem FTP-Server (File Transfer Protocol) verbindet und Dateien und Daten auf diesen Server kopiert und zusätzlich verschlüsselt. Die Angreifer haben für diese Aktionen die Dienstprogramme PowerShell und WinSCP verwendet.

In einigen Fällen wurden die exfiltrierten Daten nicht direkt auf einen FTP-Server, sondern auf einen Cloud File Sharing Service übertragen.

Was ist die Maze-Website?

Die Ransomware-Gruppe, die Maze erstellt hat, betrieb mehrere Jahre lang eine Website im Dark Web. Auf der Website wurden gestohlene Daten und Dokumente als Beweis für frühere Angriffe veröffentlicht und Links zu sozialen Medien angegeben, über die die gestohlenen Daten verbreitet werden konnten.

In einem Beitrag auf ihrer Website im November 2020 behauptete die Maze-Gruppe, dass sie ihren Betrieb einstellen würde. Wie so oft bei Ransomware-Gruppen ist es jedoch möglich, dass sie unter einem anderen Namen weiter aktiv sind.

Was passierte beim Maze-Ransomware-Angriff auf Cognizant?

Der Cognizant Maze Ransomware-Angriff war ein großer Vorfall, der sich im April 2020 ereignete. Cognizant ist ein IT-Provider für Unternehmen auf der ganzen Welt. Der Angriff kompromittierte das Netzwerk von Cognizant und führte möglicherweise auch zum Diebstahl vertraulicher Daten seiner Kunden (Cognizant gab nicht bekannt, welche seiner Kunden von dem Angriff betroffen waren). Es dauerte mehrere Wochen, bis Cognizant seine Dienste vollständig wiederherstellen konnte, sodass die Geschäftsprozesse vieler Kunden in dieser Zeit verlangsamt oder angehalten wurden.

Cognizant schätzte die durch den Angriff entstandenen Verluste auf 50 bis 70 Millionen Dollar.

Gegen wen gab es andere große Maze-Angriffe?

  • Pensacola, Florida, USA: Die Stadt Pensacola wurde im Jahr 2019 Opfer von Maze. Die Angreifer ließen 2 GB der Daten von Pensacola als Beweis für den Angriff durchsickern.
  • Canon: Maze infizierte den Hersteller von Fotoausrüstung Canon im Jahr 2020. Die Angreifer exfiltrierten 10 TB an Daten. Viele Nutzer des kostenlosen Speicherdienstes von Canon haben durch den Angriff ihre Daten dauerhaft verloren.
  • Xerox: Maze kompromittierte die Systeme von Xerox im Jahr 2020 und stahl 100 GB an Daten.
  • LG Electronics: Im Jahr 2020 hat Maze Quellcode-Daten von LG gestohlen und weitergegeben.

Andere Maze-Opfer sind WorldNet Telecommunications, Columbus Metro Federal Credit Union, die American Osteopathic Association und VT San Antonio Aerospace.

Wie lassen sich Maze-Ransomware verhindern

Diese Schritte können einen Angriff durch die Ransomware Maze weit weniger wahrscheinlich machen:

  • Verwenden Sie keine Standard-Anmeldedaten: Maze-Angriffe nutzen die Kompromittierung von Zugangsdaten, um ein Netzwerk zu infiltrieren. Standard-Benutzernamen und -Kennwörter sind in der Regel im kriminellen Untergrund bekannt und daher sehr unsicher.
  • Verwenden Sie eine Zwei-Faktor-Authentifizierung (2FA): 2FA bedeutet, dass Sie mehr als nur einen Benutzernamen und ein Passwort verwenden, um einen Nutzer zu authentifizieren, bevor Sie ihm Zugang zu einer Anwendung gewähren – zum Beispiel indem Sie Hardware-Token verwenden, den Angreifer nicht stehlen oder duplizieren können.
  • E-Mail-Sicherheit: Filtern Sie böswillige E-Mail-Anhänge heraus und schulen Sie die Nutzer, unerwartete E-Mails und nicht vertrauenswürdige Anhänge zu ignorieren.
  • Aktualisieren Sie Systeme: Software-Updates können einige der Schwachstellen flicken, die Maze normalerweise nutzt, um Server und Netzwerke zu kompromittieren.
  • Anti-Malware-Scan: Wenn eine Maze-Infektion auftritt, ist es wichtig, sie so schnell wie möglich zu erkennen und von infizierten Geräten zu entfernen. Anti-Malware kann die meisten Formen von Maze auf einem Gerät erkennen. Infizierte Geräte sollten sofort vom Rest des Netzwerks isoliert werden.
  • Zero Trust-Sicherheit: Ein Zero Trust-Sicherheitsmodell hilft dabei, Seitwärtsbewegungen innerhalb eines Netzwerks zu verhindern, indem Nutzer und Geräte regelmäßig neu verifiziert werden und der Zugang für Geräte, die mit Malware infiziert sind, sofort eingeschränkt wird. Erfahren Sie mehr über Zero Trust-Netzwerke.

Cloudflare One ist eine Zero Trust Network-as-a-Service-Plattform (NaaS), die Nutzer, Büros und Rechenzentren sicher miteinander verbindet. Erfahren Sie mehr über Cloudflare One und wie es Ransomware-Angriffen entgegenwirkt.