Stehlen, Zerstören, Sabotieren: Maze-Ransomware bedrängt Opfer massiv
15. Mai 2020
Die Security-Experten von SophosLabs haben einen intensiven Blick auf die Ransomware „Maze“ geworfen und geben interessante Einblicke in Werkzeuge, Techniken und Prozeduren.
Bei der Maze-Ransomware handelt es sich um eine hochaktuelle Bedrohung: Weiterentwickelt aus einer simplen Ransomware, gilt Maze inzwischen als besondere Gefahr, die sich dadurch auszeichnet, dass sie Datenverschlüsselung mit Informationsdiebstahl und der Bedrohung der Bloßstellung kombiniert. Ransomware erweist sich derzeit ohnehin ein heikles Thema in vielen Unternehmen, wie die weltweite Studie von Sophos „The State of Ransomware 2020″ zeigt: Erpressungssoftware und hier eben insbesondere Maze gewinnt in Zeiten von Lockdown, Homeoffice und skrupelloser Aktivität seitens der Cyber-Kriminalität noch einmal besonders an Brisanz.
Der kombinierte Ansatz von Verschlüsselung, Diebstahl und Drohgebaren, der Maze so besonders macht und der bereits von anderen Ransomware-Familien übernommen wurde, ist kreiert worden, um massiven Druck auf das Opfer auszuüben. Das betroffene Unternehmen soll nur noch die Zahlung der Erpressungsgelder als Lösung seiner Situation in Betracht ziehen können. Was die Unternehmen teuer zu stehen kommt, wie wir aus der aktuellen Ransomware-Studie wissen. Die Zahlung der Lösegelder führt demnach nämlich fast zu einer Verdopplung der Schadenskosten.
Offline-Backups, mehrschichtige Sicherheitslösungen und nicht bezahlen
Sophos Principal Researcher Chester Wisniewksi erklärt das Vorgehen der Maze-Erpresser und gangbare Wege, um sich davor zu schützen, so: „Ein effektives Backup-System, das Organisationen ermöglicht, ihre verschlüsselten Daten widerherzustellen, und zwar ohne Lösegeldzahlungen, ist entscheidend für den Geschäftserfolg. Aber es ist nicht der einzige Faktor für die wirkliche Belastbarkeit gegenüber einer Ransomware-Attacke. Fortgeschrittene Gegner, wie die Entwickler hinter Maze-Ransomware, verschlüsseln nicht nur Dateien.“
Sie stehlen, so Wisniewksi, Daten, um Erpressungsmaterial zu haben. Einige versuchen auch, Backups zu löschen oder zu sabotieren, um es den Nutzern nahezu unmöglich zu machen, ihre Daten wiederherzustellen. „Das bringt sie in die Position, Druck auf die Opfer zu erhöhen“, erklärt der Security-Spezialist. „Der Lösungsweg besteht für Unternehmen darin, Backups offline aufzubewahren und effektive, mehrschichtige Sicherheitslösungen zu verwenden, die Angriffe entdecken und blocken, und zwar in unterschiedlichen Stadien und damit den Diebstahl oder die Beschädigung von Daten zu verhindern. Organisationen müssen sicherstellen, dass Ransomware keinen Fuß in ihr Netzwerk bekommt, egal wo und wie Angreifer sich Zugang verschaffen.“ (rhh)
Zur kompletten Analyse der Maze-Ransomware
