Die Maze-Ransomware entwickelt sich immer mehr zu einer enormen Bedrohung für Unternehmen wetlweit. Im Gegensatz zu anderen Erpressertrojanern hat es Maze nicht nur auf Lösegeld durch die Verschlüsselung von Daten abgesehen, sondern stiehlt auch Informationen und droht den Opfern mit Bloßstellung.
Wir verraten Ihnen, wie Maze im Detail funktioniert und wie Sie sich schützen können.
Maze-Ransomware – dreifach gefährlich
In ihrem aktuellen „The State of Ransomware 2020“ Report haben die Sicherheitsexperten von Sophos den Verschlüsselungstrojaner Maze einmal genau unter die Lupe genommen. Besonders interessierte die Forscher, wie Maze funktioniert, welcher Werkzeuge sich die Malware bedient und welche Konsequenzen den Opfern drohen. Das Ergebnis gibt definitiv Anlass zur Sorge. Denn die Maze-Ransomware ist eine Art 2.0-Entwicklung des klassischen Erpressertrojaners.
Sie kombiniert das Prinzip der Datenverschlüsselung und Lösegeld-Forderung mit skrupellosen Drohungen, die betroffenen Unternehmen massiv zusetzen können. Und das funktioniert allein deshalb, weil die Daten vor der Verschlüsselung vollständig gestohlen werden. Je brisanter und sensibler der Inhalt, desto größer die Sorge der Opfer vor den Folgen, sollten die Erpresser sie frei veröffentlichen. Einige Maze-Versionen sind angeblich sogar in der Lage, Daten-Backups zu identifizieren und zu löschen.
Die neue Generation der Erpressertrojaner
Das Beispiel Maze zeigt wieder einmal eindrucksvoll, dass es Cyberkriminellen nicht an Kreativität und Boshaftigkeit mangelt. Statt sich mit der bereits sehr erfolgreichen Lösegeld-für-Daten-Methode zu begnügen (viele Opfer zahlen am Ende des Tages aus purer Verzweiflung), gehen die neuen Verschlüsselungstrojaner noch einen Schritt weiter.
Jüngstes Opfer von Maze war übrigens das IT-Unternehmen Cognizant, was selbst Experten überrascht hat. Immerhin existiert hier ein ganz anderer Sicherheitsstandard als bei branchenfremden Unternehmen. Cognizant legte den Angriff sofort offen und informierte seine Kunden unmittelbar. Unklar ist bislang, ob die Hacker auch hier erfolgreich damit waren, vor der Datenverschlüsselung entsprechende Kopien zu erstellen, die das Lösegeld nachträglich noch weiter in die Höhe treiben können.
Maze-Ransomware verteilt sich rasant
Wie viele Unternehmen bereits das Vergnügen mit Maze hatten, ist nicht bekannt. IT-Sicherheitsexperten sind sich aber einig: Die Ransomware wird die ganze Welt noch einige Zeit lang in Atem halten. Und: Sie zählt aktuell zu den schlimmsten Bedrohungen der Kategorie Cybercrime. In einem Detailbericht zu Maze stellte Sophos fest, dass die Drahtzieher und Entwickler der Ransomware permanent an der Weiterentwicklung arbeiten und sich gar die aktuelle Situation rund um die Corona-Pandemie zunutze machen.
Die häufigste Form der Verbreitung ist dabei die klassische E-Mail. Das Problem: Je besser die Tarnung der Nachricht, desto höher die Wahrscheinlichkeit, dass ein Empfänger den Anhang öffnet.
Und auch hier beweisen die Kriminellen ihre kreative Ader. Ob augenscheinliche Bewerbung auf eine tatsächlich ausgeschriebene Stelle, angebliche Informationen der WHO zu Corona und Co. oder vermeintliche Rechnung für die Buchhaltung: Die Spam-Mails sind teilweise so gut getarnt, dass nicht nur Laien darauf hereinfallen. Ihre Mitarbeiter regelmäßig zu Security Awareness zu schulen, ist also alternativlos.
Schutz vor Maze und Co.
Leider gilt auch im Falle von Maze, dass es keinen 100-prozentigen Schutz vor dem Verschlüsselungstrojaner gibt. Wie immer sind vor allem eine gute Antiviren-Software und ein durchdachtes Backup-Management die einzigen Mittel, die sich bei einem Angriff als Retter in der Not beweisen könnten.
Da Maze aber – wie eingangs erwähnt – teilweise sogar in der Lage ist, erstellte Backups zu sabotieren oder gar zu entfernen, sollte gegebenenfalls Ihre Datensicherungsstrategie angepasst werden. Das Zauberwort lautet hier „mehrschichtige Datensicherheit“. Backups sollten also auch offline aufbewahrt werden. Wie sich das für Ihr Unternehmen am besten umsetzen lässt, verraten Ihnen die Experten aus dem IT-SERVICE.NETWORK. Nehmen Sie einfach Kontakt zu uns auf.
Update vom 20.10.2020: Maze nicht mehr aktiv?
Die häufig gut informierte Tech-News-Webseite BleepingComputer berichtet, dass die Drahtzieher hinter der Ransomware die Angriffe mit dieser einstellen werden. Schon seit Mitte September sollen keine IT-Systeme mehr damit verschlüsselt worden sein. Inzwischen haben die Drahtzieher auch schon fast alle auf einer Datenleck-Webseite aufgelisteten Opfer entfernt. BleepingComputer: „Die Bereinigung der Datenleck-Site deutet darauf hin, dass die Schließung der Lösegeldoperation unmittelbar bevorsteht.“
Die gute Nachricht zieht allerdings eine schlechte Nachricht nach sich: Offenbar sind viele zuvor an Maze beteiligte Gruppen inzwischen auf eine neue Lösegeld-Operation umgestiegen – Egregor. Die Ransomware Egregor ist seit Mitte September 2020 in Betrieb. Vermutet wird, dass Egregor auf derselben Software basiert wie Maze (und Sekhmet).
Übrigens: Es ist nicht ungewöhnlich, dass Cyberkriminelle eine Ransomware in Rente schicken und sich einer anderen zuwenden. Solche Vorgänge ließen sich schon häufiger beobachten. Anders als die betroffene Ransomware gehen die Akteure dahinter also leider nicht in Rente.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung