Was ist Maze-Ransomware?
Obwohl es Ransomware schon seit Jahrzehnten gibt, erlangte sie erst durch den WannaCry-Ransomware-Angriff im Jahr 2017 Berühmtheit. Andere Cyberkriminelle haben den Erfolg von WannaCry erkannt und eigene Ransomware-Varianten entwickelt und eigene Angriffskampagnen gestartet. Maze ist eine dieser neuen Ransomware-Varianten. Es gibt sie schon seit einigen Jahren, aber sie schrieb Geschichte, indem sie 2019 Pionierarbeit bei der "doppelten Erpressung" leistete .
In der Vergangenheit basierte Ransomware auf einem einfachen Geschäftsmodell: Man verschlüsselte die Dateien von Personen und verlangte dann ein Lösegeld, wenn sie wieder Zugriff erhalten wollten. Dieser Ansatz funktioniert jedoch nur, wenn die Zielperson das Lösegeld zahlt. Einige Ransomware-Opfer konnten aus Backups wiederherstellen, während andere den Verlust akzeptierten und gegenüber den Ransomware-Betreibern den Grundsatz „Futter nicht die Tiere“ verfolgten.
Aufgrund sinkender Umsätze beschloss die Ransomware-Gruppe Maze, ihre Strategie zu ändern und einen traditionellen Ransomware-Angriff und eine Datenschutzverletzung in einer einzigen Kampagne zu kombinieren. Sie würden sich Zugang zum Netzwerk einer Organisation verschaffen, viele sensible Informationen stehlen und dann alles verschlüsseln. Wenn sich die Zielperson weigert, das Lösegeld zu zahlen, drohte die Maze-Gruppe damit, ihre gestohlenen Daten öffentlich zu machen oder sie an den Meistbietenden zu verkaufen.
Dieser Ansatz erhöhte die Erfolgswahrscheinlichkeit von Maze, da die Veröffentlichung gestohlener Daten dazu führen kann, dass ein Unternehmen einen Wettbewerbsvorteil verliert (wenn geistiges Eigentum und Geschäftsgeheimnisse an einen Konkurrenten weitergegeben werden) und möglicherweise mit Datenschutzbestimmungen in Konflikt gerät (aufgrund des Verlusts von Kundendaten, die durch die DSGVO, den CCPA usw. geschützt sind).
Wie funktioniert Maze-Ransomware?
Im Großen und Ganzen unterscheidet sich Maze nicht von anderen Ransomware-Varianten. Sie alle machen sich die Tatsache zunutze, dass die heute verwendeten Verschlüsselungsalgorithmen mit moderner Technologie unknackbar sind. Wenn Daten verschlüsselt sind, kann nur die Person mit dem entsprechenden Entschlüsselungsschlüssel (in diesem Fall die Maze-Gruppe) auf die Originaldaten zugreifen. Daher muss Ransomware lediglich Dateien verschlüsseln, die Originale und alle Backups löschen und sicherstellen, dass die einzige Kopie des Verschlüsselungsschlüssels an die Ransomware-Betreiber gesendet wird.
Dennoch sind nicht alle Ransomware-Varianten und -Kampagnen identisch. Ransomware-Varianten unterscheiden sich unter anderem in der Wahl des ursprünglichen Infektionsvektors und in der Art und Weise, wie sie sich im Netzwerk verbreiten. Normalerweise verschafft sich Maze Zugriff über Phishing-E-Mails und nutzt dann verschiedene Techniken, um sich seitlich durch das Netzwerk zu bewegen und so weitere Maschinen zu infizieren.
Schließlich unterschied sich Maze von anderer Ransomware dadurch, dass es Pionierarbeit bei der oben erwähnten Strategie der „doppelten Erpressung“ leistete. Während andere Ransomware-Gruppen in ihre Fußstapfen traten, war die Maze-Gruppe die erste, die Daten von ihren Zielcomputern stahl und diese dann verschlüsselte.
So schützen Sie sich vor Maze-Ransomware
In der Vergangenheit konzentrierte sich Ransomware darauf, Benutzern den Zugriff auf ihre Dateien zu verweigern. Dies wurde erreicht, indem die Dateien verschlüsselt und dann ein Lösegeld für den Entschlüsselungsschlüssel verlangt wurde. Bei diesen ursprünglichen Ransomware-Varianten gab es eine Reihe von Möglichkeiten, sich davor zu schützen. Um die Auswirkungen der Malware abzumildern, reichte lediglich eine sichere Datensicherung aus, aus der die verschlüsselten Dateien nach Abschluss des Angriffs wiederhergestellt werden konnten.
Mit Maze reicht die Wiederherstellung aus einem Backup nicht aus. Im Rahmen seines Angriffs stiehlt Maze Daten, die der Cyberkriminelle zu veröffentlichen droht, wenn das Lösegeld nicht gezahlt wird. Um das Risiko einer Datenschutzverletzung und die damit verbundenen behördlichen und rechtlichen Strafen auszuschließen, muss ein Unternehmen den Maze-Ransomware-Angriff erkennen und blockieren, bevor er Schaden anrichten kann.
Hier kommen das SandBlast Netzwerk und der SandBlast Agent von Check Point ins Spiel. SandBlast hilft einem Unternehmen, jede Phase eines Maze-Ransomware-Angriffs zu bewältigen:
- Prävention: SandBlast Network und SandBlast Agent schützen das Netzwerk und Endgerät der Organisation. Dies hilft, Maze-Ransomware zu erkennen und zu blockieren, bevor sie Zugriff auf ein Zielgerät erhält.
- Erkennung: SandBlast Threat Hunting hilft einem Unternehmen, versteckte Maze-Ransomware-Infektionen im Netzwerk zu erkennen. Dadurch kann die Malware möglicherweise gelöscht werden, bevor Schaden entsteht.
- Untersuchung: Check Point Infinity SOC hilft bei der Erkennung infizierter Geräte im Netzwerk. Dies ermöglicht es, sie unter Quarantäne zu stellen, um die Ausbreitung von Maze zu stoppen und die Sanierung und Wiederherstellung zu unterstützen.
- Wiederherstellung: SandBlast Forensics Report unterstützt die vollständige Wiederherstellung verschlüsselter Dateien. SandBlast Agent ist für die Dateiwiederherstellung nicht auf die Schattenkopie des Computers angewiesen, die von Ransomware häufig gelöscht wird.
Schutz vor Maze-Ransomware mit Check Point
Maze ist eine hochentwickelte Ransomware-Variante; Das bedeutet jedoch nicht, dass es unmöglich ist, es zu erkennen und zu besiegen. Check Point hat ein Video veröffentlicht, das zeigt, wie Maze durch Threat Hunting mithilfe des MITRE ATT&CK-Frameworks erkannt werden kann.
Die SandBlast-Produktlinie von Check Point eignet sich ideal zum Schutz von Unternehmen vor Maze-Ransomware-Angriffen. Testen Sie den Endgeräteschutz von Check Point selbst mit einer kostenlosen Testversion von SandBlast Agent. Schauen Sie sich auf Netzwerkebene den Maze-Ransomware-Schutz mit einer Demonstration von SandBlast Netzwerk an.
Feedback