Hopp til hovedinnholdet

Maze ransomware – betydning og definisjon

Maze ransomware er en sofistikert type Windows-ransomware som retter seg mot organisasjoner over hele verden i mange bransjer. Som med andre former for ransomware, krever Maze en kryptovaluta-betaling i bytte for sikker gjenoppretting av krypterte data.

Hvis ofre for Maze ransomware nekter å betale, truer kriminelle med å lekke ofrenes konfidensielle data. Denne oppførselen ses i økende grad i nyere former for ransomware, inkludert REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop og andre.

Hva er Maze ransomware?

Maze ble utviklet som en variant av ChaCha ransomware, og ble opprinnelig oppdaget i mai 2019. Siden desember 2019 har Maze vært svært aktiv i å målrette ofre i mange bransjer.

Hvordan fungerer Maze ransomware?

Maze distribueres vanligvis gjennom:

  1. Spam-e-post, ofte ved bruk av ondsinnede lenker eller vedlegg (for det meste word- eller excel-filer)
  2. RDP brute force-angrep
  3. Bruk av utnyttelsessett

I noen tilfeller kan angrepet komme fra organisasjonens klient eller partner som allerede er blitt offer for hackerne. Når Maze får tilgang til et nettverk, prøver operatørene å få forhøyede privilegier slik at de kan distribuere filkryptering på alle stasjoner. Maze er spesielt farlig fordi den også stjeler dataene den finner og eksfiltrerer dem til servere som er kontrollert av ondsinnede hackere, og deretter truer med å frigjøre dem hvis løsepenger ikke blir utbetalt.

Organisasjoner kan være i stand til å gjenopprette dataene fra en sikker backup for å komme i gang igjen (hvis selve backupen ikke er kompromittert), men det endrer ikke det faktum at kriminelle nå har en kopi av organisasjonens data. I hovedsak er Maze en kombinasjon av et ransomware-angrep og et datainnbrudd.

Maze ransomware-nettstedet

Skaperne av Maze driver et nettsted der de lister opp ofrene sine (som de omtaler som «klienter»). På dette nettstedet publiserer de ofte eksempler på stjålne data som en form for straff. Nettstedet inneholder detaljer om når ofre ble rammet av Maze ransomware, samt lenker til nedlastinger av stjålne data og dokumenter som «bevis». Provoserende nok har nettstedet det ironiske slagordet «Keeping the world safe» og inkluderer til og med sosiale delingsknapper, slik at detaljer om datainnbrudd kan deles via sosiale medier.

Nettstedet Maze ransomware advarer ofrene om at hvis løsepenger ikke blir betalt, vil de:

  • Gi offentlig informasjon om sikkerhetsbrudd og informere media
  • Selge stjålet informasjon med kommersiell verdi på det mørke nettet
  • Informere eventuelle relevante børser om hacking og tap av sensitiv informasjon for å få selskapets aksjekurs ned
  • Bruke stjålet informasjon for å angripe klienter og partnere, samt informere dem om at selskapet ble hacket

Maze antas å operere gjennom et tilknyttet nettverk, der utviklere deler inntektene sine med forskjellige grupper som bruker Maze i organisasjonsnettverk.

I 2020 gikk kriminelle bak Maze sammen med to andre nettkriminelle grupper, LockBit og RagnarLocker, som i det vesentlige danner et ransomware-kartell. Kriminelle samlet innsatsene sine, og data stjålet av disse gruppene, ble publisert på nettstedet Maze. Etter dette samarbeidet brukte Maze utføringsteknikker som tidligere bare ble brukt av RagnarLocker.

Slutten for Maze ransomware?

På slutten av 2020 kunngjorde Maze ransomware-gruppen i en usammenhengende uttalelse at den stengte. De sa at de ikke lenger ville oppdatere nettstedet sitt, og at ofre som ønsket at dataene deres skulle bli fjernet, kunne kontakte deres «support chat».

Gruppen hevdet at de hadde startet angrepene for å øke bevisstheten om cybersikkerhet. Samtidig hevdet de motstridende nok at gruppen aldri egentlig hadde eksistert utenfor hodene til journalister som skrev om dem.

De hevdet også å ha hatt tilgang til IT-systemene i staten New York og flere internettleverandører (ISP-er), men at de valgte å ikke angripe dem.

Gruppens påstander om å være oppløst bør tas med en klype salt. Tidligere kunngjorde ransomware-operatørene GandCrab at de sluttet, bare for å gjenoppstå og kjøre REvil/Sodinokibi på nytt. Likheter mellom Maze og to nylig fremvoksende typer ransomware kjent som Egregor og Sekhmet har blitt observert – noe som gir en sterk indikasjon på at gruppen bare endrer seg til en ny bølge cyberangrep.

Cognizant ransomware-angrep

Maze ransomware-angrep – eksempler

Bemerkelsesverdige eksempler på Maze ransomware-ofre inkluderer:

Cognizant Maze ransomware-angrep

Et av de mest profilerte Maze ransomware-angrepene var rettet mot Cognizant, et Fortune 500-selskap og en av verdens største leverandørene av IT-tjenester.

I april 2020 ble Cognizant angrepet av Maze ransomware-gruppen, noe som forstyrret tjenestene til kundene deres. Angrepet krypterte og deaktiverte noen av dets interne systemer og tvang det til å ta andre systemer offline.

Angrepet skjedde da Covid-19-pandemien var i gang og ansatte prøvde å jobbe eksternt. Ved å forstyrre datasystemer som støtter virtuell stasjonær infrastruktur, ble ansattes arbeidsevne påvirket. Interne kataloger ble slettet, noe som gjorde det vanskeligere for personalet å kommunisere med hverandre og for salgsteamene å kommunisere med prospekter og klienter. I noen tilfeller gikk tilgangen til e-post tapt.

Noen av Cognizants klienter valgte å beskytte seg mot skadelig programvare ved å stenge Cognizants tilgang til nettverkene sine og effektivt sette prosjekter på vent. Cognizant kalte inn ledende eksperter på nettsikkerhet for å hjelpe sine interne IT-sikkerhetsteam. Cognizant-ransomwareangrepet ble også rapportert til politimyndighetene, og Cognizants klienter ble kontinuerlig oppdatert.

I varslene om brudd på data advarte Cognizant om at sensitiv personlig informasjon som personnummer, skatte-ID, økonomisk informasjon, førerkort og pass kan ha blitt stjålet. For ansatte som hadde firmakredittkort, advarte selskapet om at de sannsynligvis ble eksponert under angrepet. For de berørte ga Cognizant et gratis år med overvåkning av ID-tyveri og det mørke nettet.

Maze ransomware-angrepet på Cognizant ble anslått å koste selskapet umiddelbart mellom 50 og 70 millioner dollar i påløpte kostnader i etterkant for å gjenopprette datasystemene totalt.

Cognizant-kundene innbefattet finanstjenesteselskaper som ING og Standard Life, bilselskapene Mitsubishi Motors og HR-serviceselskap PeopleSoft. Selskapet avslørte ikke hvilke klienter som ble berørt av angrepet.

Canon Maze ransomware-angrep

I august 2020 ble det rapportert at Canon var blitt offer for et Maze ransomware-angrep. Gjengen eksfiltrerte opptil 10 TB av Canons data, og hendelsen påvirket rundt 25 forskjellige Canon-domener og en rekke interne applikasjoner, inkludert e-post- og samarbeidstjenester.

Maze ransomware-angrepet påvirket brukere av 10 GB gratis lagringstjeneste. Canon erkjente at data eller bilder som ble lagret før 16. juni 2020, gikk tapt, men sa at det ikke forekom noen lekkasjer av bildedata. Selv om de ikke var tilgjengelige, kunne miniatyrbilder av denne informasjonen fremdeles vises på nettet. Men å klikke på noen av øyeblikksbildene ga en feil på nettstedet.

Xerox Maze ransomware-angrep

I juli 2020 hevdet Maze ransomware-operatører at de hadde brutt seg inn på Xerox sine systemer og truet med å lekke enorme mengder data med mindre de ble betalt. Gruppen la ut en serie på 10 skjermbilder på nettstedet sitt som bevis på bruddet. Disse skjermbildene indikerte at gjengen hadde stjålet data relatert til kundesupportoperasjoner.

City of Pensacola Maze ransomware-angrep

Byen Pensacola i Florida ble angrepet i slutten av 2019. Maze ransomware-gruppen truet med å lekke data med mindre det ble betalt løsepenger på 1 million dollar. Etter sigende hadde gruppen stjålet mer enn 32 GB data fra byens infiserte systemer. De lekket 2 GB som bevis på angrepet.

Som et resultat av Maze ransomware-angrepet ble nettbetalingstjenester fra Pensacola Energy og City of Pensacola Sanitation Services stoppet. Heldigvis for innbyggerne ble ikke andre tjenester som politi og brannvesen berørt.

Bør du betale løsepenger for Maze-ransomwareangrep?

Det anbefales å ikke gjøre det. Jo flere folk som betaler løsepenger, desto mer sannsynlig er det at kriminelle vil starte lignende angrep i fremtiden.

Når det er sagt, kan noen virksomheter føle at med mindre de betaler, kan ikke selskapet overleve. Det er ingen enkle svar, og til slutt er det en beslutning hver organisasjon må ta ut fra deres omstendigheter. Uansett hva de bestemmer, anbefales det å involvere politiet og samarbeide tett med dem slik at de kan undersøke hvem som kan stå bak angrepene.

Uansett om organisasjoner betaler eller ikke, er det viktig å forstå sikkerhetsproblemene som førte til angrepet. Organisasjoner bør finne ut hva som gikk galt, og hvordan de kan fikse det for å forhindre cyberkriminalitetsangrep i fremtiden.

Som svar på Maze malware-tilnærmingen anbefaler FBI selskaper å vurdere proaktivt å lage cacher med dummy-data. Disse falske datasamlingene er ment å gjøre det vanskeligere for angripere å stjele virkelig viktige filer under et hack.

Beskyttelse mot Maze ransomware

Ransomware fortsetter å utvikle seg. Det beste forsvaret mot det er proaktiv forebygging, fordi når data først er kryptert av skadelig programvare eller hackere, er det ofte for sent å gjenopprette dem.

Tips til organisasjoner for kan forhindre ransomware-angrep:

1. Hold programvare og operativsystemer oppdatert

Å holde programvare og operativsystemer oppdatert vil beskytte deg mot malware. Bruk oppdateringer for programvare som Microsoft Office, Java, Adobe Reader, Adobe Flash og nettlesere som Internet Explorer, Chrome, Firefox, Opera osv., inkludert nettleserprogrammer. Når du kjører en oppdatering, får du de nyeste sikkerhetsoppdateringene, slik at det blir vanskeligere for kriminelle å utnytte sårbarheter i programvaren.

2. Bruk sikkerhetsprogramvare

Nettkriminalitet blir stadig mer utbredt, og beskyttelse mot løsepengevirus har aldri vært viktigere. Beskytt datamaskiner mot ransomware med en omfattende Internett-sikkerhetsløsning som Kaspersky Internet Security. Når du laster ned eller streamer, vil programvaren vår blokkere infiserte filer og på den måten forhindre løsepengevirus fra å infisere datamaskinen og holde nettkriminelle på avstand.

3. Bruk VPN for å få tilgang til nettverket

Bruk et VPN for å få tilgang til nettverket i stedet for å eksponere RDP (Remote Desktop Protocol) for Internett. Kaspersky Secure Connection gir personvern på nettet og tilgang til globalt innhold.

4. Backupdata

Sikkerhetskopier data regelmessig til et sikkert sted utenfor stedet, slik at du kan gjenopprette stjålne data i tilfelle et angrep oppstår. En enkel måte å oppnå dette på er å aktivere automatiske sikkerhetskopier rutinemessig i stedet for å stole på hukommelsen til en bruker. Sikkerhetskopier bør testes regelmessig for å sikre at data lagres.

5. Utdann og informer personalet om cybersikkerhetsrisiko

Organisasjoner bør sørge for at personalet blir informert om metodene som nettkriminelle bruker for å infiltrere organisasjoner elektronisk. Lær opp alle ansatte om cybersikkerhetspraksis som:

  • Ikke klikk på koblinger i søppelpost eller på ukjente nettsteder. Nedlastinger som starter når du klikker på skadelige koblinger, er én måte som datamaskinen kan bli infisert på.
  • Unngå å laste ned programvare eller mediefiler fra ukjente nettsteder.
  • Ikke åpne e-postvedlegg fra avsendere du ikke stoler på. Se hvem e-posten er fra, og kontroller at e-postadressen er riktig. Vurder om et vedlegg ser ekte ut før du åpner det. Hvis du ikke er sikker, kan du ta kontakt med personen du tror har sendt e-posten, for å dobbeltsjekke.
  • Hvis du mottar et anrop, en tekstmelding eller en e-post fra en ikke-klarert kilde som ber om personlige opplysninger, må du ikke oppgi dem.
  • Bruk bare sikker teknologi for ekstern tilkobling i selskapets lokale nettverk.
  • Bruk endepunktssikkerhet med atferdsdeteksjon og automatisk tilbakestilling av filer, for eksempel Kaspersky Endpoint Security for Business.
  • Bruk unike, enkle passord for å beskytte sensitive data og kontoer, og aktiver multifaktorautentisering.
  • Krypter sensitive data der det er mulig.

Uansett om Maze-ransomwaregruppen går i oppløsning eller bare forvandles til en annen kriminell gruppe, vil trusselen om ransomware fortsette. Som alltid er årvåkenhet nødvendig for å være i forkant med cybertrusler i stadig utvikling.

Relaterte artikler:

Hva er Maze ransomware? Definisjon og forklaring

Hva er Maze ransomware? Maze malware presser ut kryptovaluta i bytte mot stjålne data, og truer med å lekke data hvis Maze ransomware-ofre ikke betaler.
Kaspersky Logo