Maze-ransomware – betekenis en definitie
Maze-ransomware is een geavanceerde soort malware gericht op Windows-systemen, die aanvallen uitvoert op organisaties over de hele wereld en in een groot aantal sectoren. Net als bij andere vormen van ransomware eist Maze betaling in cryptocurrency in ruil voor het veilige herstel van versleutelde gegevens.
Als de slachtoffers van Maze-ransomware weigeren te betalen, dreigen de criminelen de vertrouwelijke gegevens van de slachtoffers te lekken. Dit gedrag zien we steeds vaker in nieuwere vormen van ransomware, zoals onder andere in REvil/Sodinokibi, JSWorm/Nemty/Nefilim en Clop.
Wat is Maze-ransomware?
Maze werd ontwikkeld als een variant op ChaCha-ransomware en werd voor het eerst ontdekt in mei 2019. Sinds december 2019 is Maze erg actief en zijn er slachtoffers in verschillende sectoren.
Hoe werkt Maze-ransomware?
Maze verspreidt zich meestal via:
- Spam-mails, vaak door gebruik te maken van kwaadaardige koppelingen of bijlagen (meestal Word- of Excel-bestanden)
- Brute-force-aanvallen op het RDP (Remote Desktop Protocol)
- Het gebruik van 'exploitkits'
In sommige gevallen is de aanval afkomstig van een klant of partner van de organisatie, die al eerder slachtoffer was van de hackers. Zodra Maze een netwerk is binnengedrongen proberen de hackers uitgebreide rechten te verkrijgen, zodat ze bestanden op alle schijven kunnen versleutelen. Maze is vooral gevaarlijk omdat het de gevonden gegevens ook daadwerkelijk steelt en exfiltreert naar servers die in handen zijn van kwaadwillende hackers, die vervolgens dreigen de gegevens openbaar te maken als er geen losgeld wordt betaald.
Organisaties kunnen dan misschien wel hun gegevens terugzetten vanaf een beveiligde back-up en weer aan de praat krijgen (als de back-up zelf niet is aangetast tenminste), maar het feit blijft dat de criminelen een kopie van de gegevens van de organisatie in handen hebben. Maze is in feite een combinatie van gijzelsoftware en een datalek.
Website van Maze-ransomware
De makers van Maze beheren een website waarop ze hun slachtoffers (die ze 'klanten' noemen) vermelden. Op deze website publiceren ze bij wijze van straf regelmatig voorbeelden van gestolen gegevens. De website geeft informatie over wanneer de slachtoffers ten prooi vielen aan de Maze-ransomware en bevat koppelingen naar downloads van gestolen gegevens als 'bewijs'. De website, waarop uitdagend de ironische slogan 'Keeping the world safe' wordt getoond, heeft zelfs knoppen waarmee de informatie over datalekken via sociale media kan worden gedeeld.
De website van Maze-ransomware waarschuwt de slachtoffers dat de hackers het volgende zullen doen als ze weigeren het losgeld te betalen:
- Informatie over beveiligingsinbreuken openbaar maken en de media op de hoogte stellen
- Gestolen informatie met commerciële waarde verkopen op het darkweb
- Relevante aandelenbeurzen op de hoogte stellen van de hack en het verlies van gevoelige informatie om de aandelenprijzen van het bedrijf te laten dalen
- De gestolen informatie gebruiken om klanten en partners van het bedrijf aan te vallen en te laten weten dat het bedrijf is gehackt
De veronderstelling is dat Maze te werk gaat via een netwerk van aangesloten ontwikkelaars, die hun opbrengst delen met verschillende groepen die Maze gebruiken in organisatienetwerken.
In 2020 zijn de criminelen achter Maze een samenwerking aangegaan met twee andere groepen cybercriminelen, LockBit en RagnarLocker. Hierdoor is in feite een ransomware-kartel ontstaan. De criminelen bundelden hun krachten en de gegevens die door deze groepen waren gestolen, werden ook gepubliceerd op de Maze-website. Sinds deze samenwerking gebruikt Maze uitvoeringstechnieken die voorheen alleen bij aanvallen van RagnarLocker werden gezien.
Het einde van Maze-ransomware?
Eind 2020 kondigde de Maze-ransomwaregroep in een rammelende verklaring aan ermee op te houden. Ze lieten weten dat ze hun website niet langer zouden bijhouden en dat slachtoffers die hun gegevens wilden laten verwijderen contact konden opnemen met de 'support chat'.
De groep beweerde dat ze met de aanvallen waren begonnen om meer aandacht te vragen voor cybersecurity. Tegelijkertijd beweerden ze dat de groep nooit echt had bestaan, maar alleen in de hoofden van journalisten die erover schreven. Een verwarrende verklaring.
Ook beweerden ze te zijn binnengedrongen in de IT-systemen van de regering van de staat New York en verschillende internetproviders, maar dat ze ervoor hadden gekozen deze niet aan te vallen.
De bewering van de groep dat ze zichzelf hebben opgeheven, moeten we met een korreltje zout nemen. Eerder al hadden de ransomware-operators van GandCrab aangekondigd te gaan stoppen, waarna ze weer opdoken met REvil/Sodinokibi. Er zijn overeenkomsten vastgesteld tussen Maze en twee nieuwe soorten ransomware genaamd Egregor en Sekhmet, die onlangs zijn opgedoken. Dit is een sterke aanwijzing dat de groep zich voorbereidt op een nieuwe golf cyberaanvallen.
Voorbeelden van aanvallen met Maze-ransomware
Opmerkelijke voorbeelden van slachtoffers van Maze-ransomware zijn onder andere:
Aanval met Maze-ransomware op Cognizant
Een van de opvallendste aanvallen met Maze-ransomware was die op Cognizant, een Fortune 500-bedrijf en een van de grootste leveranciers van IT-diensten ter wereld.
In april 2020 werd Cognizant aangevallen door Maze-ransomware en werd de dienstverlening aan klanten onderbroken. De aanval versleutelde een aantal interne systemen van Cognizant en maakte deze onbruikbaar. Andere systemen moesten offline worden gehaald.
De aanval vond plaats tijdens de Covid-19-pandemie, op het moment dat het personeel probeerde thuis te werken. Door verstoring van de computersystemen die de virtuele desktopinfrastructuur ondersteunden, konden medewerkers hun werk niet meer uitvoeren. Interne mappen werden gewist, waardoor de onderlinge communicatie moeilijker werd en verkoopteams moeite hadden om te communiceren met prospects en klanten. In sommige gevallen was e-mailen niet meer mogelijk.
Een aantal klanten van Cognizant koos ervoor zichzelf tegen de malware te beschermen door Cognizant de toegang tot hun netwerken te ontzeggen, waardoor projecten kwamen stil te liggen. Cognizant deed een beroep op toonaangevende cybersecurity-experts om de interne IT-beveiligingsteams bij te staan. De ransomware-aanval werd gemeld bij de wetshandhavingsinstanties en de klanten van Cognizant werden voortdurend op de hoogte gehouden van de stand van zaken.
In de meldingen van de datalekken die Cognizant deed, waarschuwde het bedrijf dat mogelijk gevoelige persoonlijke informatie zoals BSN-nummers, belastinggegevens, financiële informatie en gegevens over rijbewijzen en paspoorten waren gestolen. Het bedrijf waarschuwde medewerkers die in het bezit waren van een zakelijke creditcard dat de criminelen tijdens de aanval waarschijnlijk toegang hadden tot hun gegevens. De personen die het betrof kregen van Cognizant een jaar lang gratis controle op identiteitsfraude en darkweb-monitoring.
De schatting is dat de aanval met Maze-ransomware het bedrijf direct na afloop tussen de 50 en 70 miljoen dollar heeft gekost en dat het bedrijf later nog meer geld kwijt was voor het volledig herstel van de computersystemen.
Tot de klanten van Cognizant behoren bedrijven in de financiële dienstverlening zoals ING en Standard Life, autobedrijf Mitusbishi Motors en HR-dienstverlener PeopleSoft. Het bedrijf heeft niet naar buiten gebracht welke klanten door de aanval waren getroffen.
Aanval met Maze-ransomware op Canon
In augustus 2020 werd gemeld dat Canon het slachtoffer was geworden van een aanval met Maze-ransomware. De bende exfiltreerde zo'n 10 TB aan gegevens van Canon. De aanval trof ongeveer 25 verschillende Canon-domeinen en een aantal interne applicaties, waaronder e-mail en samenwerkingsdiensten.
Daarnaast werden de gebruikers van de 10 GB gratis opslagruimte slachtoffer van de aanval. Canon erkende dat alle gegevens en afbeeldingen die voor 16 juni 2020 waren opgeslagen verloren waren gegaan. Volgens het bedrijf waren er echter geen afbeeldingen gelekt. Hoewel de gegevens niet langer toegankelijk waren, stonden er nog steeds miniaturen online. Wanneer je echter op een van deze foto's klikte, verscheen een foutmelding op de website.
Aanval met Maze-ransomware op Xerox
In juli 2020 beweerden de operators van Maze-ransomware dat ze hadden ingebroken in de systemen van Xerox. Ze dreigden enorme hoeveelheden gegevens te lekken als het bedrijf niet zou betalen. De groep plaatste een serie van tien schermafbeeldingen op hun website als bewijs van de inbraak. De schermafbeeldingen wezen erop dat de bende in het bezit was van gestolen gegevens die verband hielden met klantondersteuning.
Aanval met Maze-ransomware op de stad Pensacola
De stad Pensacola in Florida was eind 2019 het slachtoffer van een aanval. De Maze-ransomwaregroep dreigde gegevens te lekken, tenzij 1 miljoen dollar aan losgeld werd betaald. Naar verluidt had de groep meer dan 32 GB aan gegevens gestolen uit de geïnfecteerde systemen. Ze lekten 2 GB als bewijs van de aanval.
Als gevolg van de aanval werden online betaaldiensten van Pensacola Energy en de City of Pensacola Sanitation Services stilgelegd. Gelukkig voor de inwoners had de aanval geen gevolgen voor andere diensten, zoals de politie en de brandweer.
Is het verstandig losgeld te betalen als je wordt aangevallen met Maze-ransomware?
Het advies is om dit niet te doen. Hoe meer mensen losgeld betalen, hoe waarschijnlijker het is dat criminelen in de toekomst vergelijkbare aanvallen uitvoeren.
Dat gezegd hebbende kunnen er bedrijven zijn die toch betalen, omdat ze bang zijn dat hun bedrijf het anders niet overleeft. Er is geen gemakkelijke oplossing voor dit probleem. Uiteindelijk moet iedere organisatie op basis van de eigen omstandigheden zelf een afweging maken. Wat het besluit ook is, het is altijd aan te raden om wetshandhavingsinstanties in te schakelen en nauw met deze samen te werken, zodat zij kunnen onderzoeken wie er achter de aanvallen zit.
Of organisaties nu betalen of niet, het is van essentieel belang om te begrijpen welke beveiligingsproblemen de aanval überhaupt mogelijk maakten. Organisaties moeten uitzoeken wat er fout ging en hoe ze dit kunnen verhelpen, zodat ze cyberaanvallen in de toekomst kunnen voorkomen.
Als antwoord op de tactiek van Maze-malware adviseert de FBI bedrijven om te overwegen proactief caches met dummygegevens te maken. Deze valse gegevens zijn bedoeld om het de aanvallers moeilijker te maken om echt belangrijke bestanden te stelen bij een hack.
Hoe kunnen bedrijven zich beschermen tegen Maze-ransomware?
Ransomware verandert voortdurend. De beste verdediging is proactieve preventie. Immers, wanneer gegevens eenmaal zijn versleuteld door malware of hackers is het vaak te laat om ze weer te herstellen.
Enkele tips voor organisaties om ransomware-aanvallen te voorkomen:
1. Houd software en besturingssystemen up-to-date
Met software en besturingssystemen die up-to-date zijn, ben je beter beschermd tegen malware. Installeer altijd de nieuwste patches en updates voor software zoals Microsoft Office, Java, Adobe Reader, Adobe Flash en internetbrowsers zoals Internet Explorer, Chrome, Firefox, Opera etc. Werk ook de browser-plugins bij. Als je een update installeert, profiteer je van de nieuwste beveiligingspatches, waardoor het voor cybercriminelen moeilijker is om misbruik te maken van zwakke plekken in je software.
2. Gebruik beveiligingssoftware
Nu cybercriminaliteit steeds vaker voorkomt, is bescherming tegen ransomware belangrijker dan ooit. Bescherm computers tegen ransomware met een uitgebreide internetbeveiligingsoplossing zoals Kaspersky Internet Security. Wanneer je bestanden downloadt of aan het streamen bent, blokkeert de software geïnfecteerde bestanden. Zo voorkom je dat je systemen geïnfecteerd raken met ransomware en houd je cybercriminelen buiten de deur.
3. Gebruik een VPN voor toegang tot het netwerk
Gebruik een VPN voor toegang tot het netwerk in plaats van het RDP (Remote Desktop Protocol) bloot te stellen aan internet. Kaspersky Secure Connection biedt online privacy en toegang tot wereldwijde content.
4. Maak een back-up van gegevens
Maak regelmatig een back-up van je gegevens op een veilige locatie elders, zodat je gestolen gegevens kunt terugzetten als je het slachtoffer van een aanval wordt. Dit gaat het gemakkelijkst als je automatische back-ups inschakelt, in plaats van te vertrouwen op de routines van gebruikers. Test back-ups regelmatig om er zeker van te zijn dat de gegevens worden opgeslagen.
5. Informeer je medewerkers over cybersecurityrisico's
Organisaties moeten hun medewerkers informeren over de methoden die cybercriminelen gebruiken om elektronisch te infiltreren in organisaties. Train alle medewerkers in de best practices van cybersecurity, zoals:
- Klik nooit op koppelingen in spam-mails of op onbekende websites. Downloads die worden gestart wanneer je op een schadelijke koppeling klikt is namelijk een manier waarop je computer geïnfecteerd kan raken.
- Download geen software of mediabestanden van onbekende websites.
- Open geen e-mailbijlagen van afzenders die je niet vertrouwt. Kijk eerst van wie de e-mail afkomstig is en controleer of het e-mailadres juist is. Controleer of een bijlage er legitiem uitziet voordat je deze opent. Als je het niet zeker weet, neem dan contact op met de persoon van wie je denkt dat deze mail afkomstig is om de bijlage te controleren.
- Als je een oproep, sms of e-mail van een niet-vertrouwde bron krijgt die vraagt om persoonlijke gegevens, verstrek deze gegevens dan niet.
- Maak alleen gebruik van veilige technologie voor verbindingen op afstand in het lokale bedrijfsnetwerk.
- Maak gebruik van endpointbeveiliging met gedragsdetectie en automatisch herstel van bestanden, bijvoorbeeld Kaspersky Endpoint Security for Business.
- Gebruik unieke wachtwoorden die moeilijk te raden zijn om gevoelige informatie en accounts te beschermen. Stel ook meervoudige verificatie in.
- Versleutel gevoelige informatie zoveel mogelijk.
Het maakt niet uit of de Maze-ransomwaregroep wordt opgeheven of simpelweg transformeert in een andere criminele groep, de dreiging van ransomware blijft bestaan. Zoals altijd is het belangrijk om waakzaam te zijn en de voortdurend veranderende cyberdreigingen een stap voor te blijven.
Gerelateerde artikelen: