Maze ransomware – betydning og definition
Maze ransomware er en sofistikeret type Windows ransomware, der angriber organisationer, som kommer fra mange brancher verden over. Ligesom andre former for ransomware, kræver Maze betaling i kryptovaluta, til gengæld for en sikker gendannelse af de krypterede data.
Hvis offeret for maze ransomwaren nægter at betale, truer den kriminelle med at lække ofrenes fortrolige data. Denne adfærd ses i stigende grad ifm. nyere former for ransomware, som fx REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop etc.
Hvad er maze ransomware?
Maze blev udviklet som en variant af ransomwaren 'ChaCha' og blev først opdaget i maj 2019. Siden december 2019, har man ofte brugt Maze mod ofre i adskillige brancher.
Hvordan virker Maze ransomware?
Labyrint distribueres typisk via:
- Spam-mails, ofte ved hjælp af ondsindede links eller vedhæftede filer (for det meste Word- eller Excel-filer)
- RDP brute force-angreb
- Brug af exploit kits/udnyttelsessæt
I nogle tilfælde kommer angrebet fra organisationens kunder eller partnere, der allerede er ramt af hackerne. Når Maze får adgang til netværket, prøver operatørerne at opnå større rettigheder, så de kan implementere filkryptering på alle drev. Maze er ekstremt farlig, fordi den også stjæler de data, den finder, og sender den ud til servere, der styres hackerne, som derefter truer med at offentliggøre dem, hvis man ikke betaler en løsesum.
Organisationerne kan muligvis gendanne deres data fra en sikkerhedskopi og komme i gang igen, forudsat at sikkerhedskopien ikke også er kompromitteret. Det ændrer desværre ikke det faktum, at forbryderne nu har en kopi af organisationens data. Generelt er Maze en kombination af et ransomware-angreb og et databrud.
Maze ransomware på hjemmesider
Forbryderne, der designer Mazen, har en hjemmeside, hvor de angiver deres ofre (som de kalder “kunder”). Hjemmesiden offentliggør ofte prøver på stjålne data, som en form for straf. Hjemmesiden indeholder oplysninger om, hvornår ofrene blev ramt af Mazen, samt links til downloads af de stjålne data og dokumenter, der fungerer som "beviser". Provokerende nok, bruger hjemmesiderne fx det ironiske slogan "Keeping the world safe" og har knapper til deling via de sociale medier, så detaljerne om dataovertrædelserne også kan deles der.
Maze ransomwarens hjemmeside advarer ofrene om, at hvis de ikke betaler løsesummen, vil man:
- Lancere offentlige oplysninger om sikkerhedsbruddet og informe medierne
- Sælge stjålne oplysninger, som har kommerciel værdi, på det mørke internet
- Informere alle relevante børser om hacket og tabet af de følsomme oplysninger for at reducere virksomhedens aktiekurs
- Bruge stjålne oplysninger til at angribe kunder og partnere med, samt informere dem om, at virksomheden er hacket
Maze menes at fungere via et tilknyttet netværk, hvor udviklerne deler deres aktiviteter med forskellige grupper, der bruger Maze i virksomhedernes netværk.
I 2020 gik de kriminelle, som stod bag Maze, sammen med to andre cyberkriminelle grupper, LockBit og RagnarLocker, og dannede deres eget ransomwarekartel. Kriminelle forenede indsatsen, og offentliggjorde gruppernes stjålne data på Maze-hjemmesiden. Samarbejdet brugte nu særlige Maze eksekveringsteknikker, som før kun blev brugt af RagnarLocker.
Enden på Maze ransomware?
I slutningen af 2020, meddelte Maze ransomware-gruppen, at den lukkede ned, via en noget uklar erklæring. Den oplyste, at man ikke længere ville opdatere hjemmesiden, og at de ofre, der ville have deres data fjernet, kunne kontakte "supportchatten".
Gruppen hævdede, at de bare havde startet angrebene for at øge bevidstheden om cybersikkerhed. Samtidig skrev man, i andre uklare vendinger, at gruppen aldrig rigtig havde eksisteret, undtagen i journalisternes hoveder.
De påstod også at have haft adgang til IT-systemerne fra New Yorks regering samt flere internetudbyderes (ISP'er), men havde valgt ikke at angribe dem.
Gruppens påstand om, at den er opløst, bør nok tages med et gran salt. Tidligere meddelte ransomware-operatøren, GandCrab, at man holdt op, hvorefter man bare fortsatte med REvil/Sodinokibi. Der findes en række ligheder mellem Maze og to nyligt voksende typer af ransomware, der kaldes Egregor og Sekhmet, hvilket mere end antyder, at gruppen forbereder en ny bølge af cyberangreb.
Eksempler på angreb med ransomware
Bemærkelsesværdige eksempler på ofre for Maze ransomware:
Ransomwareangrebet på Cognizant
Et af de mest profilerede angreb med Maze ransomware blev rettet mod Cognizant, et Fortune 500-firma og en af verdens største udbydere af IT-ydelser.
I april 2020 blev Cognizant angrebet af Maze ransomware-gruppen, som forstyrrede kundernes ydelser. Angrebet krypterede og deaktiverede nogle af de interne systemer og tvang Cognizant til at sætte andre systemer offline.
Angrebet fandt sted, mens Corona-pandemien rasede, og personalet forsøgte at arbejde hjemmefra. Ved at forstyrre de computersystemer, der understøttede den virtuelle desktops infrastruktur, påvirkede man medarbejdernes evne til at arbejde. Man slettede fx de interne mapper, hvilket gjorde det sværere for personalet at kommunikere med hinanden og for salgsteamene til at kommunikere med potentielle og nuværende kunder. I nogle sager, mistede man adgangen til sin e-mail.
Nogle af Cognizants kunder valgte at beskytte sig mod malwares, ved at lukke for Cognizants adgang til deres netværk og dermed stoppe projekterne. Cognizant tilkaldte flere førende cybersikkerhedseksperter, som hjalp deres interne IT-sikkerhedsteam. Cognizants ransomware-angreb blev meldt til myndighederne, og Cognizants kunder fik løbende opdateringer.
I sine meddelelser om databruddet, advarede Cognizant om, at følsomme personlige oplysninger, som personnumre, CVR-numre, økonomiske oplysninger, kørekort og pas kunne være stjålet. Mht. de medarbejdere, der havde kreditkort fra virksomheden, advarede man også om, at de sandsynligvis var eksponeret under angrebet. Cognizant gav de berørte et års gratis overvågning mod ID-tyveri og det mørke internet.
Man mener, at Mazes ransomware-angreb på Cognizant umiddelbart kostede virksomheden mellem 50 og 70 mio. dollar, hvortil der skal lægges yderligere omkostninger til at gendanne computersystemerne fuldstændigt.
Cognizants kunder omfatter finansielle selskaber, som ING og Standard Life, bilfirmaet Mitsubishi Motors og HR-virksomheden PeopleSoft. Virksomheden afslørede ikke, hvilke kunder, der blev berørt af angrebet.
Angrebet på Canon med Maze ransomware
I august 2020 oplyste man, at Canon blev ramt af et angreb med Maze ransomware. Banden hentede op til 10 TB af Canons data, hvilket påvirkede ca. 25 forskellige Canon-domæner og en række interne applikationer, herunder e-mail- og samarbejdsfunktioner.
Angrebet med Maze-ransomware påvirkede brugerne af de gratis 10 GB opbevaring. Canon erkendte, at de data eller fotos, der var gemt før den 16. juni 2020, gik tabt, men sagde, at der ikke var nogen lækage af billeddata. Selvom de ikke er tilgængelige, kan man stadig se miniaturer af disse oplysninger på nettet. Hvis man klikker på et af dem, giver det en fejl på hjemmesiden.
Angrebet på Xerix med Maze ransomware
I juli 2020 hævdede Maze ransomware-operatører, at de var brudt ind i Xeroxs systemer og truede med at lække større mængder af data, medmindre de fik penge. Gruppen offentliggjorde en serie af 10 skærmbilleder på sin hjemmeside, som bevis på indbruddet. Skærmbillederne viste, at banden havde stjålet data, som var knyttet til kundesupportens aktiviteter.
Angrebet på byen Pensacola med Maze ransomware
Byen Pensacola i Florida blev angrebet i slutningen af 2019. Maze ransomware-banden truede med at lække data, medmindre de fik en løsesum på 1 million dollars. Efter sigende, havde de stjålet mere end 32 GB data fra byens inficerede systemer. De lækkede 2 GB som dokumentation på angrebet.
Angrebet med Maze ransomware betød, at online betalingstjenester fra Pensacolas energiforsyning renovationstjenester stoppede. Heldigvis for borgerne blev andre tjenester, som fx politi og brandvæsen ikke berørt.
Bør man betale løsesum ifm. angreb med Maze ransomware?
Det anbefales ikke at gøre det. Jo flere, der betaler løsesummer, desto mere sandsynligt er det, at de kriminelle lancerer lignende angreb fremover.
Når det er sagt, føler nogle virksomheder måske, at medmindre de betaler, overlever deres virksomhed næppe. Der er ingen lette svar, og i sidste ende er det en beslutning, som hver organisation må træffe, ud fra dens omstændigheder. Uanset hvad man beslutter, anbefales det at involvere myndighederne og arbejde tæt sammen med dem, så de kan undersøge, hvem der står bag angrebene.
Uanset om organisationerne betaler, er det vigtigt at forstå de sikkerhedsproblemer, der medfører angrebene. Organisationerne bør finde ud af, hvad der gik galt, og hvordan man løser det, så man kan forhindre cyberangreb fremover.
Som svar på brugen af Maze malwares, råder FBI virksomhederne til at overveje proaktivt at oprette caches med fiktive data. De falske data gør det sværere for angriberne at stjæle de ægte og vigtige filer ifm. hacket.
Sådan beskytter man sig mod Maze ransomware
Ransomware udvikler sig løbende. Det bedste forsvar består af proaktiv forebyggelse. For når dataene først er krypteret af malwares eller hackere, er det typisk for sent at gendanne dem.
Tip til organisationer, der hjælper med at forhindre ransomware-angreb, inkluderer:
1. Hold software og operativsystemer opdaterede
Når du holder software og operativsystemer opdateret, hjælper det med at beskytte dig mod malware. Anvend programrettelser og opdateringer til softwares, som fx Microsoft Office, Java, Adobe Reader, Adobe Flash og internetbrowsere som Internet Explorer, Chrome, Firefox, Opera osv., samt diverse browser-plugins. Når du kører en opdatering, sikrer du dig nemlig, at du udnytter de nyeste sikkerhedsrettelser, som gør det sværere for de cyberkriminelle at udnytte din softwares sårbarheder.
2. Anvend sikkerhedssoftware
Da cyberkriminalitet bliver mere udbredt, har det aldrig været vigtigere at beskytte sig mod ransomware. Beskyt din computer mod ransomware med en omfattende internetsikkerhedsløsning, som Kaspersky Internet Security. Når du downloader eller streamer, blokerer vores software inficerede filer og forhindrer ransomware i at inficere computeren, mens den holder de cyberkriminelle i skak.
3. Brug VPN til at tilgå netværket
Brug et VPN til at tilgå netværket i stedet for at eksponere RDP'en (Remote Desktop Protocol) for Internettet. Kaspersky Secure Connection sikrer privatlivet på nettet og adgang til globalt indhold.
4. Sikkerhedskopier data
Sikkerhedskopier data løbende til et sikkert, eksternt sted, så du kan gendanne de stjålne data, i tilfælde af et angreb. En enkel måde at gøre det på er ved at bruge automatiske sikkerhedskopier i stedet for at stole på, at brugerne selv husker det. Man bør teste sikkerhedskopierne regelmæssigt for at sikre, at dataene rent faktisk gemmes.
5. Uddan og informer personale om risici ifm. cybersikkerhed
Organisationerne skal sikre sig, at personalet informeres om de metoder, som de cyberkriminelle bruger til at infiltrere organisationerne elektronisk. Uddan alle medarbejderne i bedste praksis mht. cybersikkerhed, som fx:
- Undgå at klikke på links i spammails eller på ukendte hjemmesider. Downloads, der starter, når du klikker på skadelige links, er én måde, som kan inficeres computeren.
- Undgå at downloade software eller mediefiler fra ukendte hjemmesider.
- Undgå at åbne vedhæftede filer, der kommer i mails fra afsendere, du ikke har tillid til. Se, hvem e-mailen kommer fra, og kontroller, at e-mailadressen er korrekt. Sørg for at vurdere, om en vedhæftet fil ser ægte ud, før du åbner den. Hvis du ikke er sikker, skal du dobbelttjekke ved at kontakte den person, du mener har sendt den.
- Hvis du modtager et opkald, en sms eller e-mail fra en upålidelig kilde, der beder om personlige oplysninger, skal du ikke videregive dem.
- Brug kun sikker teknologi til at oprette fjernforbindelse til en virksomheds lokale netværk.
- Brug slutpunktssikkerhed, der registrerer adfærd og sikrer automatisk gendannelse af filer, som fx Kaspersky Endpoint Security for Business.
- Brug unikke adgangskoder, der er vanskelige at knække, til at beskytte følsomme data og konti med, og tillad flerfaktors godkendelse.
- Krypter altid følsomme data, når det er muligt.
Uanset om Maze ransomware-banden bare forsvinder eller forvandler sig til en anden kriminel gruppe, fortsætter truslen fra ransomwares. Som altid, kræver det stor årvågenhed at være på forkant med de konstant udviklende cybertrusler.
Relaterede artikler: