This post is also available in: English

Du kommer tilbage til din bærbare computer kun for at finde alle dine data krypteret og en trodsig besked på skærmen der beder dig om penge til gengæld kan sandsynligvis være en af de mest skræmmende scenarier relateret til cyber-angreb. Hvis du er så uheldig at blive ramt af cyberkriminelle, vil du finde ud af, at Maze ransomware er endnu mere skræmmende.

Hvis ransomware refererer til en type malware (skadelig software), som krypterer alle data på en pc eller mobil enhed og blokerer data ejerens adgang til det, (som vi forklarer i vores Cybersikkerheds Ordbog,) er Maze ransomware et endnu mere farligt angreb, fordi de kriminelle bag MAZE også har en offentlig hjemmeside, hvor de poster de stjålne data fra ofrene, der nægter at betale afpresnings gebyret.

Som Federal Bureau of Investigation  nævner, “ransomware angreb bliver mere målrettet, sofistikeret, og dyrt […]”. Desuden, repræsenterer de en trussel i lang tid, da ransomware  først dukkede op i 1989, da det blev indført i systemer via disketter. Du kan finde mere information om denne type angreb  her, og, hvis du er mere nysgerrig, detaljer om ransomware udbetalinger fra sidste år  her.

Den særlige Maze ransomware er i dag så alarmerende, fordi, selv hvis du formår at få adgang til dine vigtige oplysninger via sikkerhedskopier, ville de kriminelle stadig have en kopi, som kunne udarte sig til et massiv GDPR  problem. Du kan stå over for en kombination af et ransomware angreb og et data brud. Som de kriminelle nævner på deres hjemmeside, hvis løsesummen ikke er betalt, vil de:

– informere medierne og give oplysninger om dit sikkerhedsbrud;

– sælge de værdifulde stjålne oplysninger på det mørke marked

– informere de børser, hvor din virksomhed kan blive noteret om angrebet og tab af følsomme oplysninger;

– informere dine kunder og partnere, om at din virksomhed er blevet angrebet, og bruge de stjålne oplysninger til også at angribe dem.

Hvordan kan Maze Ransomware inficere dine enheder?

Første kendte Maze ransomware angreb fandt sted i maj 2019. De kriminelle distribuerede oprindeligt ransomware via spam e-mails og udnyttelses kits, men nu de bruger en række forskellige taktikker, teknikker og procedurer. De kan endda ansætte aktører til at analysere deres næste offer organisation og bestemme dens årlige indtægter. De e-mails, de sendte havde “Vi kunne ikke levere din pakke” og “Din AT & T trådløse regningen er klar til dig” på emnelinjen og blev sendt ved hjælp af flere ondsindede domæner med registreret adresse abusereceive@hitler.rocks.

Når Maze operatører finder et hul i et netværk, vil deres næste skridt være at opnå forhøjede privilegier, foretage lateral bevægelse og derefter begynde at implementere filkryptering på tværs af alle drev, og exfiltrærer de data, de opdager. Dataerne krypteres ved hjælp af ChaCha20 og

RSA  algoritmer. Efter alle de målrettede filer er krypteret, vil malware ændre skrivebordsbilledet til noget lignende:

maze ransomware notice

Kilde: PCrisk.com

 

PCrisk forklarer:

 

 Exploit kits er værktøjer, der anvendes til at indlede ‘exploits’ mod sårbare (normalt forældede) software eller til at injicere skadelig kode i sårbare websteder. Andre måder at formere ransomware lignende programmer (og anden malware) er via e-mails, trojanske heste, utroværdig software download-kanaler, software ‘Cracking’ værktøjer, og falske opdateringer. E-mails/spamkampagner kan bruges til at inficere computere via filer, der er vedhæftet e-mails. Typisk, vil cyberkriminelle vedhæfte Microsoft Office-dokumenter, arkivfiler (ZIP, RAR), eksekverbare filer (.exe og andre filer af denne art), PDF-dokumenter, JavaScript-filer, osv. Deres vigtigste mål er at narre modtagere til at åbne de vedhæftede filer. Hvis åbnet, inficerer de systemer med malware. En anden måde at formere infektioner er via trojanske heste, som er ondsindede programmer. Hvis de allerede er installeret, åbner de bagdøren for anden malware. På denne måde forårsager de kædeinfektioner. Eksempler på utroværdige download kilder er file hosting, freeware download hjemmesider, Peer-to-Peer (P2P) netværk såsom torrent klienter, eMule, og andre lignende kanaler / værktøjer. Cyberkriminelle bruge dem til at uploade ondsindede filer, der er forklædt som værende legitime eller harmløse. Ved at downloade og åbne / installere dem, installerer mange mennesker ondsindede programmer uforvarende. Software ‘Cracking’ værktøjer bruges af folk (ulovligt) for at undgå at skulle betale for aktivering af licenseret software. Faktisk, installerer disse værktøjer ofte malware i stedet for at aktivere nogen installeret software gratis. Falske (uofficielle) softwareopdateringsværktøjer forårsager skade ved at udnytte fejl i forældet software, der allerede er installeret på systemet, eller blot ved at installere ondsindede programmer i stedet for opdateringer.

Når du har modtaget den meddelelse, der giver dig besked om, at dine filer er blevet kompromitteret, får du at vide, at du

[…] skal betale løsesummen via et link til en hjemmeside, som kan åbnes med Tor browseren. En anden måde at foretage betaling er ved at bruge en anden hjemmeside (linket er også fastsat i løsesum besked), som kan åbnes med enhver browser. Under alle omstændigheder, er det gjort klart, at ofrene ikke kan dekryptere deres filer uden det korrekte værktøj / nøgle. På Tor hjemmesiden hedder det sig, at ofrene skal betale $500 i Bitcoins ved hjælp af BTC wallet adressen som er givet. Det nævnes, at hvis ikke ofrene betaler løsesummen inden for en bestemt tidsramme (en nedtællingsur vises øverst på Tor websiden), bliver størrelsen af løsesummen fordoblet. Det er muligt at dekryptere tre filer gratis via den samme hjemmeside. Generelt, tilbyder cyberkriminelle gratis dekryptering for at ‘bevise’, at de har værktøjer / nøgler i stand til afkodning af filer.

 

Maze Ransomware Angrebs Eksempler

1. ANGREBET PÅ ALLIED UNIVERSAL

Intet firma er sikkert, så længe Maze-gruppen er derude. Det erfarede Allied Universal, et sikkerhedsstabsfirma, i november 2019. Maze ransomware gruppen offentliggjorde omkring 700 MB stjålne data  efter den løsesum deadline de tilbød blev overskredet. De sagde, at dette kun udgjorde 10% af, hvad de havde stjålet. 

2. HAMMERSMITH MEDICIN RESEARCH ANGREB

Den 14 marts 2020 opdagede it-personalet i Hammersmith Medicines Research et alvorligt angreb. Virksomheden, som på det tidspunkt var på standby til at udføre forsøg til en mulig fremtidig vaccine til Covid-19 coronavirus og som tidligere har udført tests for at udvikle ebolavaccine og lægemidler til behandling af Alzheimers sygdom, var en af de mange ofre for de Maze cyberkriminelle. Den medicinske virksomhed nægtede at betale løsesummen, og personlige oplysninger om tidligere patienter blev offentliggjort, selv om Maze gruppen havde lavet et offentligt løfte om ikke at angribe medicinske forskningsorganisationer under coronavirus pandemi kun et par dage før. 

maze ransomware - maze group press release

Kilde: ComputerWeekly.com

Med hensyn til hvordan Maze gruppen kom ind i HMR, ser det ud til, at virksomheden brugte en Fortinet VPN-server, der kan have haft en sårbarhed.

3. XEROX-ANGREBET

I begyndelsen af juli i år, hævdede Maze ransomware gruppen at have stjålet mere end 100 GB fra Xerox, det gigantiske trykkeri. Som crn.com siger, “hackere synes at have stjålet finansielle dokumenter og databaser og muligvis lagring af brugeroplysninger, ifølge SecurityWeek tyder de datoer, der vises i screenshots på, at ransomwaren begyndte at kryptere filer på Xerox computere d. 24 juni […]”.

Som Microsoft  siger,

 Hidtil har angrebene påvirket hjælpeorganisationer, medicinske fakturerings virksomheder, produktions-, transport-, offentlige-institutioner, og uddannelsesmæssige software udbydere, det viser, at disse ransomware grupper giver meget lidt hensyn til de kritiske tjenester, de påvirker, trods den globale krise. Disse angreb er imidlertid ikke begrænset til kritiske tjenester, så organisationer bør være på vagt over for tegn på kompromis.

Maze Ransomware Forholdsregler

Denne årvågenhed Microsoft nævner kan – og det anbefales at – det kommer i mange former:

1. OPDATER OS OG DEN SOFTWARE, DU BRUGER

OS, sikkerhedssoftware (antivirus, firewall) og enhver anden software (herunder internetbrowsere), som din virksomhed bruger, bør altid opdateres, da cyberkriminelle ikke kan vente med at finde softwaresårbarheder, der kan bruges i deres fordel. Vores X-Ploit Resilience-teknologi kan hjælpe dig med at opnå overholdelse, afbøde exploits, lukke sårbarheder, installere opdateringer og installere software overalt i verden i henhold til enhver tidsplan. Vores værktøj dækker både Windows og tredjeparts programstyring og omfatter indstillinger, der kan tilpasses til automatisk implementering af software og opdateringer. For bedre at forstå konceptet, kan du læse mere om patch management  her.

Heimdal Official Logo
Simple standalone security solutions are no longer enough.

HEIMDAL™ ENDPOINT PREVENTION - DETECTION AND CONTROL

Is an innovative multi-layered security approach to organizational defense.
  • Next-gen Antivirus & Firewall which stops known threats;
  • DNS traffic filter which stops unknown threats;
  • Automatic patches for your software and apps with no interruptions;
  • Privileged Access Management and Application Control, all in one unified dashboard
Try it for FREE today Offer valid only for companies.

2. ADMINISTRERE BRUGERE OG DERES PRIVILEGIER

Den potentielle virkning af et vellykket ransomware angreb mod din virksomhed kan minimeres ved god account management, baseret på princippet om mindst privilegier  og nul tillid modellen.  Hvis du vil automatisere processen, kan du prøve vores værktøj til administration af privilegeret adgang.  Thor AdminPrivilege™ vil hjælpe dine system admins med at godkende eller afvise brugeranmodninger fra hvor som helst eller oprette et automatiseret flow fra det centraliserede dashboard, og alle aktiviteter vil blive logget for et fuld revisions spor, så det vil være krystalklart, hvem der gjorde hvad, hvornår. 

Heimdal Official Logo
System admins waste 30% of their time manually managing user rights or installations

Heimdal™ Privileged Access Management

Is the automatic PAM solution that makes everything easier.
  • Automate the elevation of admin rights on request;
  • Approve or reject escalations with one click;
  • Provide a full audit trail into user behavior;
  • Automatically de-escalate on infection;
Try it for FREE today Offer valid only for companies.
 

Når det kommer til password management, bør du lave komplekse koder og ændre dem ofte, aktivere multi-faktor-autentificering og generelt undgå at gennemse eller åbne dokumenter, hvis du er logget ind som administrator.

3. DEAKTIVER MICROSOFT OFFICE-MAKROER

Makroer er små programmer, der udfører bestemte opgaver, og som kan starte, når du åbner et Word- eller Excel-dokument.  Makroer og redigeringstilstand bør ikke aktiveres som standard ved udførelse af et dokument, især ikke i tilfælde af dem, der modtages via e-mail. Som vi har nævnt før var, modus operandi  af Maze gruppen stærkt afhængig af e-mail kompromiser, så det er et must at være ekstra forsigtig.

4. HOLD DIN ANTIVIRUS OPDATERET

Det siger sig selv, at din virksomheds cybersikkerhed ikke er komplet uden en antivirus løsning, som naturligvis altid skal være up to date, hvis du ønsker at blive beskyttet. Vores Thor Premium Enterprise er en sikkerhedspakke i flere lag, der samler trusselsopsporing, forebyggelse og afbødning i én pakke for at opnå den bedste endpointbeskyttelse. Den kombinerer styrken ved  Thor Foresight  og  Thor Vigilance, så du vil nyde båderevolutionerende teknologier som  DarkLayer Guard, VectorN Detection  og  X-Ploit Resilience, samt en kraftfuld firewall og procesadfærdsbaseret scanning.  

5. BROWSE SIKKERT

For at undgå at blive det næste offer for Maze ransomware, skal du altid være forsigtig, når du browser. Du bør altid opdatere din browser, blokere annonce pop-ups, undgå at installere udvidelser, du ikke ved meget om og glem ikke at kontrollere, om du besøger legitime hjemmesider ved at kontrollere adresselinjen (HTTPS er sikker, HTTP ikke så sikkert). Også, hvis du eller dine medarbejdere er opsat på at bruge web-applikationer, så glem ikke at lære mere om, hvad det betyder når det kommer til cybersikkerheden.

6. SIKKERHEDSKOPIER DINE FILER

Sikkerhedskopier er afgørende, hvis du ønsker at være i stand til at bruge dine data i tilfælde af et Maze ransomware angreb. Du bør aktivere automatiske sikkerhedskopieringer for dine medarbejdere og beskytte dem med unikke komplekse adgangskoder. Det er vigtigt at bruge en kombination af online og offline sikkerhedskopier.

7. E-MAIL-SIKKERHED

Siden Maze ransomware først blev distribueret via spam e-mails, er det indlysende, hvorfor du skal være ekstra forsigtig med alle de meddelelser, du modtager. For det første skal du aktivere multifaktorgodkendelse for at sikre, at alle logins er legitime og angive udløbsdatoer for adgangskoder. For det andet bør du aldrig åbne vedhæftede filer eller få adgang til links modtaget fra ukendte, uventede eller uønskede kilder. Du bør også tænke på en e-mail-beskyttelses løsning, ligesom vores MailSentry E-mail Security.

Heimdal Official Logo
Email communications are the first entry point into an organization’s systems.

Heimdal™ Email Fraud Prevention

Is the next-level mail protection system which secures all your incoming and outgoing comunications.
  • Deep content scanning for attachments and links;
  • Phishing, spear phishing and man-in-the-email attacks;
  • Advanced spam filters to protect against sophisticated attacks;
  • Fraud prevention system against Business Email Compromise;
Try it for FREE today Offer valid only for companies.

8. TRÆN DINE MEDARBEJDERE

Teknologi kan hjælpe, men det er folk, der bruger den, på godt og ondt – derfor er det så vigtigt, at dine medarbejdere ved, hvad der er sikkert, og hvad der ikke er med hensyn til cybersikkerhed. Brugerbevidsthed er en af de mest pålidelige metoder til at forhindre et angreb, så sørg for at tage dig tid til at uddanne dine medarbejdere og råde dem til at rapportere til sikkerhedsteams, så snart de bemærker noget usædvanligt.

 

9. TJEK FOR USÆDVANLIG ADFÆRD

Kontroller af usædvanlig adfærd og indberetninger bør blive en prioritet for enhver virksomhed. Microsoft rådgiver til at være opmærksom på:

 

– Ondsindet PowerShell, Cobalt Strike, og andre penetration-test værktøjer, der kan tillade angreb  at passe ind som godartede red team aktiviteter.

– Aktiviteter vedrørende tyveri af legitimationsoplysninger, såsom mistænkelig adgang til Local Security Authority Subsystem Service (LSASS) eller mistænkelige ændringer i registreringsdatabasen, som kan indikere nye hacker-nyttelast og værktøjer til at stjæle legitimationsoplysninger.

– Enhver manipulation med en sikkerhedshændelseslog, kriminalteknisk artefakt som USNJournal eller en sikkerhedsagent, som angribere gør for at undgå opdagelser og for at slette chancerne for at gendanne data.

10. UNDERSØGE BERØRTE ENDPOINTS OG LEGITIMATIONSOPLYSNINGER

Hvis nogen af dine endpoints bliver påvirket, så identificer alle de legitimationsoplysninger, der anvendes på dem og antag, at alle af dem var til rådighed for og kompromitteret af angriberne. Du bør kontrollere Windows-hændelsesloggen for at få efter-kompromis logs.

maze ransomware - precautions

Skal du betale løsesummen, hvis alle disse forholdsregler nogensinde mislykkes, og du bliver et offer for Maze ransomware?

Selv om denne beslutning er helt op til dig, vil vi ikke anbefale det. Som FBI  siger,

 I nogle tilfælde, blev ofre, der betalte løsesummen aldrig forsynet med dekrypterings nøgler. Desuden, på grund af fejl i krypteringsalgoritmer af visse malware varianter, kan ofre måske ikke være i stand til at inddrive nogle eller alle af deres data, selv med en gyldig dekrypteringsnøgle.

At betale løsepenge giver kriminelle mulighed at målrette andre organisationer og giver en lokkende og lukrativ virksomhed til andre kriminelle. Men FBI forstår, at når virksomhederne står over for en manglende evne til at fungere, vil ledere evaluere alle muligheder for at beskytte deres aktionærer, medarbejdere og kunder.

Uanset om du eller din organisation har besluttet at betale løsesummen, opfordrer FBI dig til at rapportere ransomware hændelser til de retshåndhævende myndigheder. Dette giver efterforskere de kritiske oplysninger, de har brug for, for at opspore ransomware angribere, holde dem ansvarlige […], og forhindre fremtidige angreb.

Desuden, husk på, at selv hvis du betaler løsesummen, er de sikkerhedsproblemer, der tillod de cyberkriminelle adgang til din virksomhed der stadig, og du er stadig nødt til at løse dem. Det er bedre at indtage en forebyggelsesholdning fra starten.

Husk også, at Heimdal™ Security altid har din ryg, og at vores team er her for at hjælpe dig med at beskytte dit hjem og din virksomhed og for at skabe en cybersikkerhedskultur til gavn for alle, der ønsker at lære mere om det.

Skriv en kommentar nedenfor, hvis du har spørgsmål, forslag eller kommentarer – vi lytter til dig og glæder os til at høre din mening!

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

GO TO TOP