Hvad er Maze Ransomware?
Find ud af alt hvad du behøver at vide om Maze Ransomware & Beskyt din virksomhed mod
This post is also available in:
English
Du kommer tilbage til din bærbare computer kun for at finde alle dine data krypteret og en trodsig besked på skærmen der beder dig om penge til gengæld kan sandsynligvis være en af de mest skræmmende scenarier relateret til cyber-angreb. Hvis du er så uheldig at blive ramt af cyberkriminelle, vil du finde ud af, at Maze ransomware er endnu mere skræmmende.
Hvis ransomware refererer til en type malware (skadelig software), som krypterer alle data på en pc eller mobil enhed og blokerer data ejerens adgang til det, (som vi forklarer i vores Cybersikkerheds Ordbog,) er Maze ransomware et endnu mere farligt angreb, fordi de kriminelle bag MAZE også har en offentlig hjemmeside, hvor de poster de stjålne data fra ofrene, der nægter at betale afpresnings gebyret.
Som Federal Bureau of Investigation nævner, “ransomware angreb bliver mere målrettet, sofistikeret, og dyrt […]”. Desuden, repræsenterer de en trussel i lang tid, da ransomware først dukkede op i 1989, da det blev indført i systemer via disketter. Du kan finde mere information om denne type angreb her, og, hvis du er mere nysgerrig, detaljer om ransomware udbetalinger fra sidste år her.
Den særlige Maze ransomware er i dag så alarmerende, fordi, selv hvis du formår at få adgang til dine vigtige oplysninger via sikkerhedskopier, ville de kriminelle stadig have en kopi, som kunne udarte sig til et massiv GDPR problem. Du kan stå over for en kombination af et ransomware angreb og et data brud. Som de kriminelle nævner på deres hjemmeside, hvis løsesummen ikke er betalt, vil de:
– informere medierne og give oplysninger om dit sikkerhedsbrud;
– sælge de værdifulde stjålne oplysninger på det mørke marked
– informere de børser, hvor din virksomhed kan blive noteret om angrebet og tab af følsomme oplysninger;
– informere dine kunder og partnere, om at din virksomhed er blevet angrebet, og bruge de stjålne oplysninger til også at angribe dem.
Hvordan kan Maze Ransomware inficere dine enheder?
Første kendte Maze ransomware angreb fandt sted i maj 2019. De kriminelle distribuerede oprindeligt ransomware via spam e-mails og udnyttelses kits, men nu de bruger en række forskellige taktikker, teknikker og procedurer. De kan endda ansætte aktører til at analysere deres næste offer organisation og bestemme dens årlige indtægter. De e-mails, de sendte havde “Vi kunne ikke levere din pakke” og “Din AT & T trådløse regningen er klar til dig” på emnelinjen og blev sendt ved hjælp af flere ondsindede domæner med registreret adresse abusereceive@hitler.rocks.
Når Maze operatører finder et hul i et netværk, vil deres næste skridt være at opnå forhøjede privilegier, foretage lateral bevægelse og derefter begynde at implementere filkryptering på tværs af alle drev, og exfiltrærer de data, de opdager. Dataerne krypteres ved hjælp af ChaCha20 og
RSA algoritmer. Efter alle de målrettede filer er krypteret, vil malware ændre skrivebordsbilledet til noget lignende:
Kilde: PCrisk.com
PCrisk forklarer:
Exploit kits er værktøjer, der anvendes til at indlede ‘exploits’ mod sårbare (normalt forældede) software eller til at injicere skadelig kode i sårbare websteder. Andre måder at formere ransomware lignende programmer (og anden malware) er via e-mails, trojanske heste, utroværdig software download-kanaler, software ‘Cracking’ værktøjer, og falske opdateringer. E-mails/spamkampagner kan bruges til at inficere computere via filer, der er vedhæftet e-mails. Typisk, vil cyberkriminelle vedhæfte Microsoft Office-dokumenter, arkivfiler (ZIP, RAR), eksekverbare filer (.exe og andre filer af denne art), PDF-dokumenter, JavaScript-filer, osv. Deres vigtigste mål er at narre modtagere til at åbne de vedhæftede filer. Hvis åbnet, inficerer de systemer med malware. En anden måde at formere infektioner er via trojanske heste, som er ondsindede programmer. Hvis de allerede er installeret, åbner de bagdøren for anden malware. På denne måde forårsager de kædeinfektioner. Eksempler på utroværdige download kilder er file hosting, freeware download hjemmesider, Peer-to-Peer (P2P) netværk såsom torrent klienter, eMule, og andre lignende kanaler / værktøjer. Cyberkriminelle bruge dem til at uploade ondsindede filer, der er forklædt som værende legitime eller harmløse. Ved at downloade og åbne / installere dem, installerer mange mennesker ondsindede programmer uforvarende. Software ‘Cracking’ værktøjer bruges af folk (ulovligt) for at undgå at skulle betale for aktivering af licenseret software. Faktisk, installerer disse værktøjer ofte malware i stedet for at aktivere nogen installeret software gratis. Falske (uofficielle) softwareopdateringsværktøjer forårsager skade ved at udnytte fejl i forældet software, der allerede er installeret på systemet, eller blot ved at installere ondsindede programmer i stedet for opdateringer.
Når du har modtaget den meddelelse, der giver dig besked om, at dine filer er blevet kompromitteret, får du at vide, at du
[…] skal betale løsesummen via et link til en hjemmeside, som kan åbnes med Tor browseren. En anden måde at foretage betaling er ved at bruge en anden hjemmeside (linket er også fastsat i løsesum besked), som kan åbnes med enhver browser. Under alle omstændigheder, er det gjort klart, at ofrene ikke kan dekryptere deres filer uden det korrekte værktøj / nøgle. På Tor hjemmesiden hedder det sig, at ofrene skal betale $500 i Bitcoins ved hjælp af BTC wallet adressen som er givet. Det nævnes, at hvis ikke ofrene betaler løsesummen inden for en bestemt tidsramme (en nedtællingsur vises øverst på Tor websiden), bliver størrelsen af løsesummen fordoblet. Det er muligt at dekryptere tre filer gratis via den samme hjemmeside. Generelt, tilbyder cyberkriminelle gratis dekryptering for at ‘bevise’, at de har værktøjer / nøgler i stand til afkodning af filer.
Maze Ransomware Angrebs Eksempler
1. ANGREBET PÅ ALLIED UNIVERSAL
Intet firma er sikkert, så længe Maze-gruppen er derude. Det erfarede Allied Universal, et sikkerhedsstabsfirma, i november 2019. Maze ransomware gruppen offentliggjorde omkring 700 MB stjålne data efter den løsesum deadline de tilbød blev overskredet. De sagde, at dette kun udgjorde 10% af, hvad de havde stjålet.
2. HAMMERSMITH MEDICIN RESEARCH ANGREB
Den 14 marts 2020 opdagede it-personalet i Hammersmith Medicines Research et alvorligt angreb. Virksomheden, som på det tidspunkt var på standby til at udføre forsøg til en mulig fremtidig vaccine til Covid-19 coronavirus og som tidligere har udført tests for at udvikle ebolavaccine og lægemidler til behandling af Alzheimers sygdom, var en af de mange ofre for de Maze cyberkriminelle. Den medicinske virksomhed nægtede at betale løsesummen, og personlige oplysninger om tidligere patienter blev offentliggjort, selv om Maze gruppen havde lavet et offentligt løfte om ikke at angribe medicinske forskningsorganisationer under coronavirus pandemi kun et par dage før.
Kilde: ComputerWeekly.com
Med hensyn til hvordan Maze gruppen kom ind i HMR, ser det ud til, at virksomheden brugte en Fortinet VPN-server, der kan have haft en sårbarhed.
3. XEROX-ANGREBET
I begyndelsen af juli i år, hævdede Maze ransomware gruppen at have stjålet mere end 100 GB fra Xerox, det gigantiske trykkeri. Som crn.com siger, “hackere synes at have stjålet finansielle dokumenter og databaser og muligvis lagring af brugeroplysninger, ifølge SecurityWeek tyder de datoer, der vises i screenshots på, at ransomwaren begyndte at kryptere filer på Xerox computere d. 24 juni […]”.
Som Microsoft siger,
Hidtil har angrebene påvirket hjælpeorganisationer, medicinske fakturerings virksomheder, produktions-, transport-, offentlige-institutioner, og uddannelsesmæssige software udbydere, det viser, at disse ransomware grupper giver meget lidt hensyn til de kritiske tjenester, de påvirker, trods den globale krise. Disse angreb er imidlertid ikke begrænset til kritiske tjenester, så organisationer bør være på vagt over for tegn på kompromis.
Maze Ransomware Forholdsregler
Denne årvågenhed Microsoft nævner kan – og det anbefales at – det kommer i mange former:
1. OPDATER OS OG DEN SOFTWARE, DU BRUGER
OS, sikkerhedssoftware (antivirus, firewall) og enhver anden software (herunder internetbrowsere), som din virksomhed bruger, bør altid opdateres, da cyberkriminelle ikke kan vente med at finde softwaresårbarheder, der kan bruges i deres fordel. Vores X-Ploit Resilience-teknologi kan hjælpe dig med at opnå overholdelse, afbøde exploits, lukke sårbarheder, installere opdateringer og installere software overalt i verden i henhold til enhver tidsplan. Vores værktøj dækker både Windows og tredjeparts programstyring og omfatter indstillinger, der kan tilpasses til automatisk implementering af software og opdateringer. For bedre at forstå konceptet, kan du læse mere om patch management her.
- Next-gen Antivirus & Firewall which stops known threats;
- DNS traffic filter which stops unknown threats;
- Automatic patches for your software and apps with no interruptions;
- Privileged Access Management and Application Control, all in one unified dashboard
2. ADMINISTRERE BRUGERE OG DERES PRIVILEGIER
Den potentielle virkning af et vellykket ransomware angreb mod din virksomhed kan minimeres ved god account management, baseret på princippet om mindst privilegier og nul tillid modellen. Hvis du vil automatisere processen, kan du prøve vores værktøj til administration af privilegeret adgang. Thor AdminPrivilege™ vil hjælpe dine system admins med at godkende eller afvise brugeranmodninger fra hvor som helst eller oprette et automatiseret flow fra det centraliserede dashboard, og alle aktiviteter vil blive logget for et fuld revisions spor, så det vil være krystalklart, hvem der gjorde hvad, hvornår.
Heimdal® Privileged Access
Management
Når det kommer til password management, bør du lave komplekse koder og ændre dem ofte, aktivere multi-faktor-autentificering og generelt undgå at gennemse eller åbne dokumenter, hvis du er logget ind som administrator.
3. DEAKTIVER MICROSOFT OFFICE-MAKROER
Makroer er små programmer, der udfører bestemte opgaver, og som kan starte, når du åbner et Word- eller Excel-dokument. Makroer og redigeringstilstand bør ikke aktiveres som standard ved udførelse af et dokument, især ikke i tilfælde af dem, der modtages via e-mail. Som vi har nævnt før var, modus operandi af Maze gruppen stærkt afhængig af e-mail kompromiser, så det er et must at være ekstra forsigtig.
4. HOLD DIN ANTIVIRUS OPDATERET
Det siger sig selv, at din virksomheds cybersikkerhed ikke er komplet uden en antivirus løsning, som naturligvis altid skal være up to date, hvis du ønsker at blive beskyttet. Vores Thor Premium Enterprise er en sikkerhedspakke i flere lag, der samler trusselsopsporing, forebyggelse og afbødning i én pakke for at opnå den bedste endpointbeskyttelse. Den kombinerer styrken ved Thor Foresight og Thor Vigilance, så du vil nyde båderevolutionerende teknologier som DarkLayer Guard, VectorN Detection og X-Ploit Resilience, samt en kraftfuld firewall og procesadfærdsbaseret scanning.
5. BROWSE SIKKERT
For at undgå at blive det næste offer for Maze ransomware, skal du altid være forsigtig, når du browser. Du bør altid opdatere din browser, blokere annonce pop-ups, undgå at installere udvidelser, du ikke ved meget om og glem ikke at kontrollere, om du besøger legitime hjemmesider ved at kontrollere adresselinjen (HTTPS er sikker, HTTP ikke så sikkert). Også, hvis du eller dine medarbejdere er opsat på at bruge web-applikationer, så glem ikke at lære mere om, hvad det betyder når det kommer til cybersikkerheden.
6. SIKKERHEDSKOPIER DINE FILER
Sikkerhedskopier er afgørende, hvis du ønsker at være i stand til at bruge dine data i tilfælde af et Maze ransomware angreb. Du bør aktivere automatiske sikkerhedskopieringer for dine medarbejdere og beskytte dem med unikke komplekse adgangskoder. Det er vigtigt at bruge en kombination af online og offline sikkerhedskopier.
7. E-MAIL-SIKKERHED
Siden Maze ransomware først blev distribueret via spam e-mails, er det indlysende, hvorfor du skal være ekstra forsigtig med alle de meddelelser, du modtager. For det første skal du aktivere multifaktorgodkendelse for at sikre, at alle logins er legitime og angive udløbsdatoer for adgangskoder. For det andet bør du aldrig åbne vedhæftede filer eller få adgang til links modtaget fra ukendte, uventede eller uønskede kilder. Du bør også tænke på en e-mail-beskyttelses løsning, ligesom vores MailSentry E-mail Security.
Heimdal® Email Security
- Completely secure your infrastructure against email-delivered threats;
- Deep content scanning for malicious attachments and links;
- Block Phishing and man-in-the-email attacks;
- Complete email-based reporting for compliance & auditing requirements;
8. TRÆN DINE MEDARBEJDERE
Teknologi kan hjælpe, men det er folk, der bruger den, på godt og ondt – derfor er det så vigtigt, at dine medarbejdere ved, hvad der er sikkert, og hvad der ikke er med hensyn til cybersikkerhed. Brugerbevidsthed er en af de mest pålidelige metoder til at forhindre et angreb, så sørg for at tage dig tid til at uddanne dine medarbejdere og råde dem til at rapportere til sikkerhedsteams, så snart de bemærker noget usædvanligt.
9. TJEK FOR USÆDVANLIG ADFÆRD
Kontroller af usædvanlig adfærd og indberetninger bør blive en prioritet for enhver virksomhed. Microsoft rådgiver til at være opmærksom på:
– Ondsindet PowerShell, Cobalt Strike, og andre penetration-test værktøjer, der kan tillade angreb at passe ind som godartede red team aktiviteter.
– Aktiviteter vedrørende tyveri af legitimationsoplysninger, såsom mistænkelig adgang til Local Security Authority Subsystem Service (LSASS) eller mistænkelige ændringer i registreringsdatabasen, som kan indikere nye hacker-nyttelast og værktøjer til at stjæle legitimationsoplysninger.
– Enhver manipulation med en sikkerhedshændelseslog, kriminalteknisk artefakt som USNJournal eller en sikkerhedsagent, som angribere gør for at undgå opdagelser og for at slette chancerne for at gendanne data.
10. UNDERSØGE BERØRTE ENDPOINTS OG LEGITIMATIONSOPLYSNINGER
Hvis nogen af dine endpoints bliver påvirket, så identificer alle de legitimationsoplysninger, der anvendes på dem og antag, at alle af dem var til rådighed for og kompromitteret af angriberne. Du bør kontrollere Windows-hændelsesloggen for at få efter-kompromis logs.
Skal du betale løsesummen, hvis alle disse forholdsregler nogensinde mislykkes, og du bliver et offer for Maze ransomware?
Selv om denne beslutning er helt op til dig, vil vi ikke anbefale det. Som FBI siger,
I nogle tilfælde, blev ofre, der betalte løsesummen aldrig forsynet med dekrypterings nøgler. Desuden, på grund af fejl i krypteringsalgoritmer af visse malware varianter, kan ofre måske ikke være i stand til at inddrive nogle eller alle af deres data, selv med en gyldig dekrypteringsnøgle.
At betale løsepenge giver kriminelle mulighed at målrette andre organisationer og giver en lokkende og lukrativ virksomhed til andre kriminelle. Men FBI forstår, at når virksomhederne står over for en manglende evne til at fungere, vil ledere evaluere alle muligheder for at beskytte deres aktionærer, medarbejdere og kunder.
Uanset om du eller din organisation har besluttet at betale løsesummen, opfordrer FBI dig til at rapportere ransomware hændelser til de retshåndhævende myndigheder. Dette giver efterforskere de kritiske oplysninger, de har brug for, for at opspore ransomware angribere, holde dem ansvarlige […], og forhindre fremtidige angreb.
Desuden, husk på, at selv hvis du betaler løsesummen, er de sikkerhedsproblemer, der tillod de cyberkriminelle adgang til din virksomhed der stadig, og du er stadig nødt til at løse dem. Det er bedre at indtage en forebyggelsesholdning fra starten.
Husk også, at Heimdal™ Security altid har din ryg, og at vores team er her for at hjælpe dig med at beskytte dit hjem og din virksomhed og for at skabe en cybersikkerhedskultur til gavn for alle, der ønsker at lære mere om det.
Skriv en kommentar nedenfor, hvis du har spørgsmål, forslag eller kommentarer – vi lytter til dig og glæder os til at høre din mening!