IT-Sicherheit

Maze-Ransomware

Erpressertrojaner 2.0 bedroht Unternehmen

von 19.05.2020
maze ransomware
Die Datenverschlüsselung ist nur ein Baustein der Maze Ransomware. Bild: Pixabay/katielwhite91

Die Maze-Ransomware entwickelt sich immer mehr zu einer enormen Bedrohung für Unternehmen wetlweit. Im Gegensatz zu anderen Erpressertrojanern hat es Maze nicht nur auf Lösegeld durch die Verschlüsselung von Daten abgesehen, sondern stiehlt auch Informationen und droht den Opfern mit Bloßstellung.
Wir verraten Ihnen, wie Maze im Detail funktioniert und wie Sie sich schützen können.

maze ransomware

Die Datenverschlüsselung ist nur ein Baustein der Maze-Ransomware. Bild: Pixabay/katielwhite91

Maze-Ransomware – dreifach gefährlich

In ihrem aktuellen „The State of Ransomware 2020“ Report haben die Sicherheitsexperten von Sophos den Verschlüsselungstrojaner Maze einmal genau unter die Lupe genommen. Besonders interessierte die Forscher, wie Maze funktioniert, welcher Werkzeuge sich die Malware bedient und welche Konsequenzen den Opfern drohen. Das Ergebnis gibt definitiv Anlass zur Sorge. Denn die Maze-Ransomware ist eine Art 2.0-Entwicklung des klassischen Erpressertrojaners.
Sie kombiniert das Prinzip der Datenverschlüsselung und Lösegeld-Forderung mit skrupellosen Drohungen, die betroffenen Unternehmen massiv zusetzen können. Und das funktioniert allein deshalb, weil die Daten vor der Verschlüsselung vollständig gestohlen werden. Je brisanter und sensibler der Inhalt, desto größer die Sorge der Opfer vor den Folgen, sollten die Erpresser sie frei veröffentlichen. Einige Maze-Versionen sind angeblich sogar in der Lage, Daten-Backups zu identifizieren und zu löschen.

Die neue Generation der Erpressertrojaner

Das Beispiel Maze zeigt wieder einmal eindrucksvoll, dass es Cyberkriminellen nicht an Kreativität und Boshaftigkeit mangelt. Statt sich mit der bereits sehr erfolgreichen Lösegeld-für-Daten-Methode zu begnügen (viele Opfer zahlen am Ende des Tages aus purer Verzweiflung), gehen die neuen Verschlüsselungstrojaner noch einen Schritt weiter.
Jüngstes Opfer von Maze war übrigens das IT-Unternehmen Cognizant, was selbst Experten überrascht hat. Immerhin existiert hier ein ganz anderer Sicherheitsstandard als bei branchenfremden Unternehmen. Cognizant legte den Angriff sofort offen und informierte seine Kunden unmittelbar. Unklar ist bislang, ob die Hacker auch hier erfolgreich damit waren, vor der Datenverschlüsselung entsprechende Kopien zu erstellen, die das Lösegeld nachträglich noch weiter in die Höhe treiben können.

Zu sehen ist ein Laptop auf einem weißen Tisch vor weißem Hintergrund. Der Bildschirm ist rot und enthält einen Warnhinweis. Vielleicht ist der Laptop von der Ransomware GermanWiper befallen. Bild: www.pixabay.com / Michael Geiger

Ein Klick auf die zip-Datei im Anhang der Bewerbungsmail und schon breitet sich Ransomware auf dem Rechner aus. Bild: Pixabay/ Michael Geiger

Maze-Ransomware verteilt sich rasant

Wie viele Unternehmen bereits das Vergnügen mit Maze hatten, ist nicht bekannt. IT-Sicherheitsexperten sind sich aber einig: Die Ransomware wird die ganze Welt noch einige Zeit lang in Atem halten. Und: Sie zählt aktuell zu den schlimmsten Bedrohungen der Kategorie Cybercrime. In einem Detailbericht zu Maze stellte Sophos fest, dass die Drahtzieher und Entwickler der Ransomware permanent an der Weiterentwicklung arbeiten und sich gar die aktuelle Situation rund um die Corona-Pandemie zunutze machen.
Die häufigste Form der Verbreitung ist dabei die klassische E-Mail. Das Problem: Je besser die Tarnung der Nachricht, desto höher die Wahrscheinlichkeit, dass ein Empfänger den Anhang öffnet.
Und auch hier beweisen die Kriminellen ihre kreative Ader. Ob augenscheinliche Bewerbung auf eine tatsächlich ausgeschriebene Stelle, angebliche Informationen der WHO zu Corona und Co. oder vermeintliche Rechnung für die Buchhaltung: Die Spam-Mails sind teilweise so gut getarnt, dass nicht nur Laien darauf hereinfallen. Ihre Mitarbeiter regelmäßig zu Security Awareness zu schulen, ist also alternativlos.

Schutz vor Maze und Co.

Leider gilt auch im Falle von Maze, dass es keinen 100-prozentigen Schutz vor dem Verschlüsselungstrojaner gibt. Wie immer sind vor allem eine gute Antiviren-Software und ein durchdachtes Backup-Management die einzigen Mittel, die sich bei einem Angriff als Retter in der Not beweisen könnten.
Da Maze aber – wie eingangs erwähnt – teilweise sogar in der Lage ist, erstellte Backups zu sabotieren oder gar zu entfernen, sollte gegebenenfalls Ihre Datensicherungsstrategie angepasst werden. Das Zauberwort lautet hier „mehrschichtige Datensicherheit“. Backups sollten also auch offline aufbewahrt werden. Wie sich das für Ihr Unternehmen am besten umsetzen lässt, verraten Ihnen die Experten aus dem IT-SERVICE.NETWORK. Nehmen Sie einfach Kontakt zu uns auf.

Update vom 20.10.2020: Maze nicht mehr aktiv?

Die häufig gut informierte Tech-News-Webseite BleepingComputer berichtet, dass die Drahtzieher hinter der Ransomware die Angriffe mit dieser einstellen werden. Schon seit Mitte September sollen keine IT-Systeme mehr damit verschlüsselt worden sein. Inzwischen haben die Drahtzieher auch schon fast alle auf einer Datenleck-Webseite aufgelisteten Opfer entfernt. BleepingComputer: „Die Bereinigung der Datenleck-Site deutet darauf hin, dass die Schließung der Lösegeldoperation unmittelbar bevorsteht.“
Die gute Nachricht zieht allerdings eine schlechte Nachricht nach sich: Offenbar sind viele zuvor an Maze beteiligte Gruppen inzwischen auf eine neue Lösegeld-Operation umgestiegen – Egregor. Die Ransomware Egregor ist seit Mitte September 2020 in Betrieb. Vermutet wird, dass Egregor auf derselben Software basiert wie Maze (und Sekhmet).
Übrigens: Es ist nicht ungewöhnlich, dass Cyberkriminelle eine Ransomware in Rente schicken und sich einer anderen zuwenden. Solche Vorgänge ließen sich schon häufiger beobachten. Anders als die betroffene Ransomware gehen die Akteure dahinter also leider nicht in Rente.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
1 Kommentar

tom, 12. März 2022 um 15:43

super hat mir sehr geholfen

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen