Hvad er Maze Ransomware & hvordan man beskytter mod det?
Maze ransomware dukkede først op i maj 2019. Maze er hackergruppens navn, der skabte den, men Maze-systemet er ikke lanceret af dem. I stedet låner Maze-gruppen softwaren ud til andre hackergrupper, som har mål i tankerne. Angriberen og leverandøren af løsesummen deler derefter overskuddet fra løsesummen
Maze-systemet sprøjtes ikke ud i listeforsendelser. Det bruges som en del af en målrettet kampagne det inkluderer doxing, som er profilering af individer. Mængden af forskning, der går i hvert angreb, er dyr og tidskrævende. Denne indsats betaler sig, fordi Maze ransomware kan krydse netværk. Det bruges hovedsageligt til at få adgang til cloud-tjenester og derefter gå videre til netværket for hver af den pågældende tjenestes kunder.
Indhold [ skjule ]
- Hvordan kommer Maze ransomware ind på et netværk?
- Hvordan inficerer Maze et system?
- Hvordan opstår et Maze ransomware-angreb?
- Hvor er Maze fra?
- Hvordan man håndterer Maze ransomware
Hvordan kommer Maze ransomware ind på et netværk?
Hackere, der bruger Maze kræver en gyldig brugerkonto, og sådan er den første fase af et Maze-angreb spyd phishing . I denne teknik undersøger hackere personer, der arbejder i en organisation, og åbner derefter en samtale baseret på en eller anden interesse, som de har opdaget, at personen forfølger.
Den indledende karakter kan være en lavt niveau medarbejder. I dette tilfælde får hackeren gennemslagskraften til at forklare, hvem der har ansvaret for den pågældende afdeling og muligvis hvem der arbejder i it-afdelingen. Hackergruppen opbygger til sidst en organisationsdiagram gennem disse sociale kontakter og regner ud, hvem der har privilegeret adgang til systemet. Denne person bliver så det primære mål. Det er konti på systemniveau, som hackerne vil have.
Mens nogle hacker-teammedlemmer forsøger at narre medarbejdere, vil andre medlemmer prøve traditionelle veje ind i systemet med ofte brugte adgangskoder, producentens standardadgangskoder eller en adgangskodekrakker for at få vigtige adgangspunkter ind i netværket. Gruppen vil også forsøge at få en fjernadgang trojansk på en enhed med en inficeret .docx fil som en vedhæftet fil i e-mail. På den ene eller anden måde kan gruppen anskaffe sig en brugerkonto.
Hvordan inficerer Maze et system?
Når Maze er på en enhed, kommer den ind en forskningsfase , ved hjælp af velkendte systemprobing-værktøjer, såsom smbtools.exe, Adfind, BloodHound, PingCastle, plus systemovervågning opdagelse værktøjer. Det vil scanne for netværkssårbarheder. Virussen vil lede efter åben SMB-adgang, netværksenhedskonfigurationsindstillinger og muligheden for at komme ind Active Directory tilfælde.
Operativsystemværktøjer, som Maze ransomware implementerer, inkluderer Link-Local Multicast Name Resolution (LLMNR) udsendelser og NetBIOS Name Service (NBT-NS) at forsøge at identificere andre computere og enheder. Det vil også fange NT LAN Manager (NTLM) pakker, som indeholder login-legitimationsoplysninger. Det vil også blive implementeret Mimikatz på hvert inficeret slutpunkt for at forsøge at finde brugerlegitimationsoplysninger. Når du får fat i et brugerkontonavn, vil Maze-pakken bruge forskellige teknikker til at erhverve adgangskoden.
Ransomware vil bruge adskillige dage udforske systemet, kortlægge netværket og samle så meget som muligt af adgangsretsstrukturen. Virussen virker meget på samme måde som almindelig systemovervågning og ledelsesværktøjer. Den forsøger at få adgang til andre endepunkter på netværket. Hvis systemet er en administreret tjenesteudbyder, vil virussen forsøge at oprette forbindelse til klientsystemer og begynde sin forskningsfase.
Mens du undersøger hvert nyligt tilgået slutpunkt, virus scanner for almindelige tekstfiler der kan indeholde brugerkontooplysninger. Det vil også forsøge at knække brute force password for at forsøge at komme ind på bruger- og systemkonti på enheden. Systemet har tid, og det vil blive ved med at udforske, gennemsøge forskellige enheder og andre scanningsteknikker for at finde brugerkonti.
Når Maze finder brugeroplysninger, kan den bevæge sig hurtigere rundt på netværket ved hjælp af SMB og RPC tjenester til at sende filer og software til andre enheder og muligvis systemets centrale servere. Virussen vil også skabe sine brugerkonti for at komme ind i adgangsrettighedsstyringstjenesten (ARM) for det målrettede netværk.
Den største vanskelighed ved at bekæmpe Maze ligger i dens evne til at flytte over til nye enheder. Når det er på en anden enhed, vil det ekstra modul inficere alle andre enheder på netværket. Så hvis ransomware-programmet bliver opdaget på én enhed og fjernet, kan denne enhed hurtigt blive det geninficeret fra en anden inficeret enhed.
Hvordan opstår et Maze ransomware-angreb?
Maze spredes meget hurtigt rundt i et netværk. Dens ultimative mål er at krypter alle datafiler at kræve en løsesum. En del af grunden til, at systemet forsinker udløsningen af den kryptering, er, at hackerne bag softwaren også ønsker at stjæle disse data . Så når den kommer ind i et nyt slutpunkt, scanner den efter filer, åbner en forbindelse til internettet og overfører derefter disse filer ud. Holdet truer senere med det frigive indholdet af disse filer til offentligheden eller hackersamfundet for at motivere ofrene til at betale løsesummen.
Når alle data er blevet stjålet, begynder Maze-krypteringen. Kryptering udføres med to cifre, som er ChaCha20 og RSA . ChaCha20 er en variation af Salsa20-chifferet. RSA er et asymmetrisk krypteringssystem, der er meget brugt som en del af SSL-sikkerhedssystemet. Maze-implementeringen af RSA bruger en 2048-bit nøgle. ChaCha20 bruger en 256-bit nøgle.
Da hver fil er krypteret, tilføjer Maze en ekstra forlængelse i slutningen af sit navn. Dette er en tilfældig serie på fire til syv karakterer. Når alle filer på enheden er blevet krypteret, ændrer Maze baggrunden på computerens skrivebord for at vise kravet om løsesum.
Brugeren ledes til en tekstfil, som ransomwaren har kopieret til enheden. Dette kaldes DECRYPT-FILES.txt . Den forklarer, hvordan man bruger en dekryptering, som også kopieres til enheden. Dette værktøj har en dekrypteringsmåler og gør det muligt at dekryptere tre filer gratis. Ved at betale løsesummen købes kreditter til dekrypteringsprogrammet. Skærmen angiver ikke en pris.
Mens kravet om løsesum vises på skærmen på den angrebne computer, afspiller Maze også en lydfil, som er en looping stemmebesked, der fungerer som en alarm.
DECRYPT-FIES.txt-filen forklarer, at offeret har tre dage at kontakte hackerne, eller de vil offentliggøre en meddelelse om angrebet på deres websted. Dette ville være skadeligt, fordi det kan få partnervirksomheder, der udfører en tredjepartsrisikoanalyse, til at trække sig fra at handle med offervirksomheden. Hvis offeret ikke kontakter gruppen indenfor syv dage , vil Maze-gruppen frigive alle de stjålne data.
Truslen om datafrigivelse er potent, fordi dette blokerer for gendannelsesstrategier, som virksomheder måske skal undgå at betale, såsom sletning og gendannelse fra backup. Gruppen er meget sikker på deres magt og endda tilbud live chat support hvis systemadministratoren har problemer med at bruge beskrivelsen.
Offeret skal åbne Maze-webstedet en Tor-browser for at modtage instruktioner om betaling og derefter få dekrypteringsnøglen. Gruppen lover også at slette alle de stjålne data, de har, når betalingen er foretaget.
Maze ransomware har ikke en fast løsesum - husk, at gruppen arbejder i partnerskab med andre cyberkriminalitetssyndikater og deler betalingen, og hver partner vil have forskellige indkomstforventninger. Det er dog kendt, at Maze løsesum er meget høje . Rapporterede krav spænder fra $6 millioner til $15 millioner.
Hvor er Maze fra?
Hackerne bag Maze er ikke en af de store grupper; faktisk har de ikke et separat navn – de er kendt som Maze, det samme som ransomware. En rutine i krypteringssystemet kontrollerer det lokale sprog på maskinen, og det vil ikke starte krypteringsangrebet, hvis dette sprog er et af sprogene fra det tidligere Sovjetunionen eller serbisk.
Blokeringen af interferens med computere, der bruges af russere eller befolkninger i stater, der er allierede med Rusland, gør det mere end sandsynligt, at Maze-hackergruppen er baseret i Rusland . Koden til Maze-programpakken er velordnet og tilstrækkeligt kommenteret. Dette indikerer, at skaberne af systemet er professionelle programmører . Koden er fejlfri og fungerer godt.
Systemet omfatter flere sløringsteknikker, og det er sammensat af flere moduler, der understøtter hinanden og udveksler data. Dette indikerer, at ransomwaren er udviklet af erfarne systemdesignere og drives af projektledere. Dens udvikling omfattede omfattende test. Så Maze er ikke et produkt af amatører, og det er et produkt af en velstyret gruppeindsats.
Hvordan man håndterer Maze ransomware
En god nyhed om Maze er, at gruppen den 1. november 2020 meddelte, at den var ophøre med angreb . Der er dog ingen grund til at tro på dem. Manglen på rapporterede angreb er heller ingen indikation af, at der ikke har fundet angreb sted. Hvis der har været en våbenhvile, så kan ingen være sikker på, at den bliver permanent.
Truslen om afsløring af data betyder, at det er udfordrende at ignorere et krav om en labyrints løsesum. Hvis din virksomhed er bundet til en databeskyttelsesstandard, f.eks HIPAA , PCI DSS , eller GDPR , kan de bøder og kompensation, du skulle betale for den afsløring, ende med at koste mere end løsesummen. Maze-gruppen har været meget kloge.
Den eneste sikker måde at overleve et labyrint-angreb er at forhindre det i at opstå i første omgang. Heldigvis blokerer nogle fremragende malware-forsvarssystemer Maze ransomware. Maze-gruppen kan komme tilbage med en modificeret version, der undgår detekteringssystemer, der er sat op til at spotte den originale Maze. Der er dog tilgængelige antimalware-muligheder fremtidssikret fordi de leder efter unormal aktivitet i stedet for specifikke filnavne. Dette er især nyttigt for Maze, der fungerer mere som en insidertrussel end et virusangreb.
Overvej følgende sikkerhedssystemer til at forsvare sig mod Maze ransomware.
1. CrowdStrike Falcon Insight (GRATIS PRØVE)
CrowdStrike Falcon Insight er et godt valg til at bekæmpe Maze ransomware. CrowdStrike har et forskningslaboratorium, og det ved alt om Maze, og hvordan det fungerer, så blokeringsrutiner mod ransomware er indbygget i denne pakke.
Insight-systemet tilbyder koordineret dækning af alle endepunkter . Dette er meget nyttigt for Mazes problem, når det geninstallerer sin software på et endepunkt, der er blevet renset fra et andet inficeret endepunkt.
Insight sidder i skyen og modtager rapporter fra endpoint-resident-moduler. Overvågningssoftwaren installeret på hvert endepunkt kaldes Falcon Prevent , som fås som et selvstændigt produkt. Dette er et næste generations antivirussystem, der leder efter unormal adfærd. Den uploader rapporter til Insight-koordinatoren. Insight kan sende øjeblikkelige instruktioner til alle endepunkter, så snart der opdages en infektion med Maze på ét sted. Fjernelsen kan således falde sammen på alle enheder i hele netværket.
Insight styrer trusselsreaktion samt detektion. Afhjælpningstrin kan omfatte suspendering af brugerkonto, isolering af enheder fra netværket og fillåsning for Active Directory. Indsigt virker godt imod insidertrusler og indtrængen samt vira.
Du kan få en 15-dages gratis prøveversion af Falcon Prevent.
CrowdStrike Falcon Prevent Start 15-dages GRATIS prøveperiode
to. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus er et beskyttelsessystem til følsomme data . Som forklaret er truslen om, at Maze offentliggør de data, den stjæler, et alvorligt problem for virksomheder, der følger en databeskyttelsesstandard. DataSecurity Plus sikrer, at følsomme data er sikre.
Systemet søger i alle dine netværk efter datalagre og derefter klassificerer dataene i hver. Dette gør det muligt for dig at vide præcis, hvor alle de værdifulde data er.
ManageEngine-systemet inkluderer også en overvågning af filintegritet der kan hver over de følsomme dataplaceringer og rapportere om alle adgangsforsøg. Dette låser de data, som du virkelig ikke har råd til at lække. Med væsentlige oplysninger beskyttet, kan du med rimelighed ignorere Maze trusler selvom de kommer ind. Fortsæt med at slette alle endepunkter og gendan dem fra backup.
ManageEngine DataSecurity Plus er tilgængelig for en 30 dages gratis prøveperiode .