什麼是 Maze 勒索軟體?

Maze 勒索軟體同時加密和竊取機密資料,給受害者帶來更多支付贖金的壓力。

學習目標

閱讀本文後,您將能夠:

  • 定義 Maze 勒索軟體的運作方式
  • 描述 Maze 如何加密和外洩資料
  • 瞭解如何阻止 Maze 勒索軟體攻擊

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 Maze 勒索軟體?

Maze 是一種勒索軟體*,自 2019 年以來一直在影響眾多組織。雖然 Maze 由一個主要團體建立,但多個攻擊者都使用 Maze 進行勒索。

除了加密資料外,大多數 Maze 的操作者還復制他們加密的資料,並威脅說如若不支付贖金,將洩露這些資料。Maze 勒索軟體感染將勒索軟體的負面影響(資料遺失、生產力下降)與資料外洩的負面影響(資料洩露、侵犯隱私)相結合,使其成為眾多企業的特別關注點。

*勒索軟體是惡意程式碼,透過加密檔案和資料來將其鎖定。受害者被告知,只有向攻擊者支付贖金,他們才能取回自己的檔案和資料。

Maze 勒索軟體攻擊如何運作?

當 Maze 勒索軟體首次投入使用時,它大多是透過惡意的電子郵件附件進行傳播。最近的攻擊在投放勒索軟體裝載前使用了其他方法入侵網路。例如,許多 Maze 勒索軟體攻擊使用偷來的或猜測的遠端桌面通訊協定 (RDP) 認證(使用者名稱和密碼組合)來滲透到網路中。其他攻擊則從入侵易受攻擊的虛擬私人網路 (VPN) 伺服器開始。

一旦 Maze 進入一個網路,它就會採取以下步驟

  1. 偵察:Maze 研究網路的漏洞,並儘可能多地識別連接的機器,幫助確保最終的勒索軟體激活能夠產生最大的影響。除其他事項外,Maze 還掃描 Active Directory,這是一個 Windows 程式,列出了網路上所有授權使用者和電腦。偵察過程通常在攻擊者滲透到目標網路後的幾天內完成。
  2. 橫向移動Maze 利用它在偵察過程中獲得的資訊在網路中自我傳播,感染盡可能多的裝置。
  3. 特權升級:隨著 Maze 的橫向移動,它竊取了更多的認證,使其能夠傳播到更多的機器上。最終,它通常會獲得管理員認證,從而控制整個網路。
  4. 持久性:Maze 使用一些技術來抵制清除。例如,它可能在網路中安裝後門程式(繞過安全措施的隱藏方式),這樣,如果它被發現並被移除,就可以重新安裝。
  5. 攻擊:最後,Maze 開始加密和外洩資料的過程。在加密資料後,Maze 會顯示或傳送一封勒索信,告訴受害者如何付款、解鎖他們的資料以及防止資料洩露。

Maze 如何外洩資料?

外洩」意味著未經授權將資料移出可信區域。通常,Maze 透過與檔案傳輸通訊協定 (FTP) 伺服器連接並將檔案和資料複製到該伺服器以及對其進行加密來洩露資料。攻擊者使用 PowerShell 和 WinSCP 公用程式來執行這些動作。

在某些情況下,外洩的資料被轉移到雲端檔案共用服務,而不是直接轉移到 FTP 伺服器。

什麼是 Maze 網站?

幾年來,建立 Maze 的勒索軟體集團在暗網上營運著一個網站。他們在網站上發布被盜資料和文件,作為他們過去攻擊的證據,並包含分享被盜資料的社交媒體連結。

2020 年 11 月,在他們網站上的一篇貼文中,Maze 集團聲稱他們正在關閉營運。然而,正如勒索軟體集團經常出現的情況一樣,他們可能仍然以不同的名字活躍。

什麼是 Cognizant Maze 勒索軟體攻擊?

Cognizant Maze 勒索軟體攻擊是在 2020 年 4 月發生的一次重大事件。Cognizant 是一家為世界各地的公司提供 IT 服務的公司。這次攻擊入侵了 Cognizant 的網路,也可能導致屬於他們客戶的機密資料被盜(Cognizant 沒有透露他們的哪些客戶受到攻擊的影響)。Cognizant 花了幾週時間才完全恢復其服務,在這期間,許多客戶的業務流程被放緩或停止。

Cognizant 公司估計由於該攻擊造成的損失為 5000 萬至 7000 萬美元

還有哪些主要的 Maze 攻擊?

  • 美國佛羅里達州彭薩科拉市:彭薩科拉市在 2019 年受到了 Maze 的侵害。攻擊者洩露了彭薩科拉 2GB 的資料作為攻擊的證據。
  • Canon:Maze 在 2020 年感染了成像設備公司 Canon。攻擊者外洩了 10TB 的資料。Canon 免費儲存服務的許多使用者由於這次攻擊而永久地失去了他們的資料。
  • Xerox:Maze 在 2020 年入侵了 Xerox 的系統,竊取了 100GB 的資料。
  • LG Electronics:2020 年,Maze 竊取並洩露了 LG 的原始程式碼資料。

其他 Maze 受害者包括 WorldNet Telecommunications、Columbus Metro Federal Credit Union、美國骨科協會和 VT San Antonio Aerospace。

如何阻止 Maze 勒索軟體

採取以下步驟能夠大大降低發生 Maze 勒索軟體攻擊的可能性:

  • 避免使用預設認證:Maze 攻擊利用認證洩露來滲透到網路中。預設的使用者名稱和密碼通常在地下犯罪中是眾所周知的,因此非常不安全。
  • 使用雙重驗證 (2FA):2FA 意味著在授予使用者對應用程式的存取權限之前,不僅僅透過使用者名稱和密碼進行驗證——例如,要求使用攻擊者無法竊取或複制的硬體權杖。
  • 電子郵件安全:篩選掉惡意的電子郵件附件,並訓練使用者忽略意料之外的電子郵件和不受信任的附件。
  • 更新系統:軟體更新可以修補 Maze 通常用來入侵伺服器和網路的一些漏洞。
  • 反惡意程式碼掃描:如果發生 Maze 感染,盡快偵測並從受感染的裝置中移除它十分重要。反惡意程式碼可以偵測裝置上大多數形式的 Maze。應立即將受感染的裝置與網路的其他部分隔離。
  • Zero Trust 安全性:Zero Trust 安全模型透過定期重新驗證使用者和裝置,並立即限制已感染惡意軟體之裝置的存取權限,協助阻止網路內的橫向移動。瞭解有關 Zero Trust 網路的更多資訊。

Cloudflare One 是一個 Zero Trust 網路即服務 (NaaS) 平台,可安全地連接遠端使用者、辦公室和資料中心。瞭解有關 Cloudflare One 的更多資訊,以及它如何抵禦勒索軟體攻擊。