ランサムウェア「Maze」は、機密データの暗号化と窃盗の両方を行い、被害者に身代金の支払いをさらに迫ります。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
Mazeは、2019年以降、組織に影響を与えているランサムウェア*の変種です。Mazeを作成したのは1つの主要グループですが、恐喝を目的とした複数の攻撃者によってMazeが使われています。
Mazeを扱う者の多くは、データを暗号化するだけでなく、暗号化したデータをコピーし、身代金を支払わなければデータを漏洩すると脅迫します。ランサムウェア「Maze」の感染は、ランサムウェアの被害(データの喪失、生産性の低下)と、データ侵害の被害(データ漏えい、プライバシーの侵害)を併せ持つため、企業にとっては特に注意が必要です。
*ランサムウェアとは、ファイルやデータを暗号化して開けなくするマルウェアのことです。被害者は、攻撃者に身代金を支払う以外にファイルやデータを取り戻すことは出来ないと言われます。
登場した当初、ランサムウェア「Maze」は悪意のあるメールの添付ファイルで配信されることがほとんどでした。最近の攻撃では他の方法を使用して、ランサムウェアのペイロードを投下する前に、ネットワークを危険にさらします。例えば、ランサムウェア「Maze」の攻撃の多くは、盗難または推測されたリモート・デスクトップ・プロトコル(RDP)の認証情報(ユーザー名とパスワードの組み合わせ)を使用してネットワークに侵入します。また、脆弱な仮想プライベートネットワーク(VPN)サーバーを侵害する攻撃から開始するものもあります。
Mazeがネットワークの中に入侵入すると、次のようなの手順を実行します。
「流出」とは、データを許可なく信頼された領域の外に移動させることを意味します。通常、Mazeはファイル転送プロトコル(FTP)サーバーに接続し、ファイルやデータを暗号化するだけでなく、このサーバーにコピーすることでデータを流出させます。攻撃者は、PowerShellやWinSCPユーティリティを使用してこれらの行為を実行します。
一部のケースでは、流出したデータがFTPサーバーに直接転送されるのではなく、クラウドのファイル共有サービスに転送されます。
Mazeを作成したランサムウェアグループは、数年前からダークウェブ上でWebサイトを運営していました。彼らは、過去の攻撃の証拠として、盗んだデータや文書をウェブサイトに掲載し、盗んだデータを共有するためのソーシャルメディアのリンクも掲載していました。
2020年11月、Mazeグループは彼らのWebサイトに投稿した記事で、運営を停止すると明言していました。しかし、ランサムウェアグループによくあるように、別の名前で活動を継続している可能性もあります。
Cognizant社へのランサムウェア「Maze」の攻撃とは、2020年4月に発生した重大インシデントです。Cognizant社は、世界中の企業にITサービスを提供する企業です。この攻撃により、Cognizant社のネットワークは危険にさらされ、また、顧客の機密データが盗まれた可能性もあります(Cognizant社は、どの顧客が攻撃の影響を受けたのかを公表していません)。Cognizant社のサービスの完全復旧までには数週間を要し、その間、多くの顧客のビジネスプロセスが遅延または停止しました。
Cognizant社は、この攻撃による損失額を5,000万ドルから7,000万ドルであると見積もっています。
その他のMazeの被害者には、WorldNet Telecommunications、Columbus Metro Federal Credit Union、米国整骨医協会、VT San Antonio Aerospaceなど含まれています。
次の手順を実行することで、ランサムウェア「Maze」の攻撃の可能性を大幅に低下させることができます。
Cloudflare Oneは、リモートユーザー、オフィス、データセンターを安全に接続するZero TrustモデルのNetwork as a Service (NaaS)プラットフォームです。Cloudflare Oneの詳細とランサムウェア攻撃の対策方法についてはこちらをご覧ください。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集