Maze-ransomware is een geavanceerde soort malware gericht op Windows-systemen, die aanvallen uitvoert op organisaties over de hele wereld en in een groot aantal sectoren. Net als bij andere vormen van ransomware eist Maze betaling in cryptocurrency in ruil voor het veilige herstel van versleutelde gegevens.
Als de slachtoffers van Maze-ransomware weigeren te betalen, dreigen de criminelen de vertrouwelijke gegevens van de slachtoffers te lekken. Dit gedrag zien we steeds vaker in nieuwere vormen van ransomware, zoals onder andere in REvil/Sodinokibi, JSWorm/Nemty/Nefilim en Clop.
Maze werd ontwikkeld als een variant op ChaCha-ransomware en werd voor het eerst ontdekt in mei 2019. Sinds december 2019 is Maze erg actief en zijn er slachtoffers in verschillende sectoren.
In sommige gevallen is de aanval afkomstig van een klant of partner van de organisatie, die al eerder slachtoffer was van de hackers. Zodra Maze een netwerk is binnengedrongen proberen de hackers uitgebreide rechten te verkrijgen, zodat ze bestanden op alle schijven kunnen versleutelen. Maze is vooral gevaarlijk omdat het de gevonden gegevens ook daadwerkelijk steelt en exfiltreert naar servers die in handen zijn van kwaadwillende hackers, die vervolgens dreigen de gegevens openbaar te maken als er geen losgeld wordt betaald.
Organisaties kunnen dan misschien wel hun gegevens terugzetten vanaf een beveiligde back-up en weer aan de praat krijgen (als de back-up zelf niet is aangetast tenminste), maar het feit blijft dat de criminelen een kopie van de gegevens van de organisatie in handen hebben. Maze is in feite een combinatie van gijzelsoftware en een datalek.
De makers van Maze beheren een website waarop ze hun slachtoffers (die ze 'klanten' noemen) vermelden. Op deze website publiceren ze bij wijze van straf regelmatig voorbeelden van gestolen gegevens. De website geeft informatie over wanneer de slachtoffers ten prooi vielen aan de Maze-ransomware en bevat koppelingen naar downloads van gestolen gegevens als 'bewijs'. De website, waarop uitdagend de ironische slogan 'Keeping the world safe' wordt getoond, heeft zelfs knoppen waarmee de informatie over datalekken via sociale media kan worden gedeeld.
De website van Maze-ransomware waarschuwt de slachtoffers dat de hackers het volgende zullen doen als ze weigeren het losgeld te betalen:
De veronderstelling is dat Maze te werk gaat via een netwerk van aangesloten ontwikkelaars, die hun opbrengst delen met verschillende groepen die Maze gebruiken in organisatienetwerken.
In 2020 zijn de criminelen achter Maze een samenwerking aangegaan met twee andere groepen cybercriminelen, LockBit en RagnarLocker. Hierdoor is in feite een ransomware-kartel ontstaan. De criminelen bundelden hun krachten en de gegevens die door deze groepen waren gestolen, werden ook gepubliceerd op de Maze-website. Sinds deze samenwerking gebruikt Maze uitvoeringstechnieken die voorheen alleen bij aanvallen van RagnarLocker werden gezien.
Eind 2020 kondigde de Maze-ransomwaregroep in een rammelende verklaring aan ermee op te houden. Ze lieten weten dat ze hun website niet langer zouden bijhouden en dat slachtoffers die hun gegevens wilden laten verwijderen contact konden opnemen met de 'support chat'.
De groep beweerde dat ze met de aanvallen waren begonnen om meer aandacht te vragen voor cybersecurity. Tegelijkertijd beweerden ze dat de groep nooit echt had bestaan, maar alleen in de hoofden van journalisten die erover schreven. Een verwarrende verklaring.
Ook beweerden ze te zijn binnengedrongen in de IT-systemen van de regering van de staat New York en verschillende internetproviders, maar dat ze ervoor hadden gekozen deze niet aan te vallen.
De bewering van de groep dat ze zichzelf hebben opgeheven, moeten we met een korreltje zout nemen. Eerder al hadden de ransomware-operators van GandCrab aangekondigd te gaan stoppen, waarna ze weer opdoken met REvil/Sodinokibi. Er zijn overeenkomsten vastgesteld tussen Maze en twee nieuwe soorten ransomware genaamd Egregor en Sekhmet, die onlangs zijn opgedoken. Dit is een sterke aanwijzing dat de groep zich voorbereidt op een nieuwe golf cyberaanvallen.
Opmerkelijke voorbeelden van slachtoffers van Maze-ransomware zijn onder andere:
Een van de opvallendste aanvallen met Maze-ransomware was die op Cognizant, een Fortune 500-bedrijf en een van de grootste leveranciers van IT-diensten ter wereld.
In april 2020 werd Cognizant aangevallen door Maze-ransomware en werd de dienstverlening aan klanten onderbroken. De aanval versleutelde een aantal interne systemen van Cognizant en maakte deze onbruikbaar. Andere systemen moesten offline worden gehaald.
De aanval vond plaats tijdens de Covid-19-pandemie, op het moment dat het personeel probeerde thuis te werken. Door verstoring van de computersystemen die de virtuele desktopinfrastructuur ondersteunden, konden medewerkers hun werk niet meer uitvoeren. Interne mappen werden gewist, waardoor de onderlinge communicatie moeilijker werd en verkoopteams moeite hadden om te communiceren met prospects en klanten. In sommige gevallen was e-mailen niet meer mogelijk.
Een aantal klanten van Cognizant koos ervoor zichzelf tegen de malware te beschermen door Cognizant de toegang tot hun netwerken te ontzeggen, waardoor projecten kwamen stil te liggen. Cognizant deed een beroep op toonaangevende cybersecurity-experts om de interne IT-beveiligingsteams bij te staan. De ransomware-aanval werd gemeld bij de wetshandhavingsinstanties en de klanten van Cognizant werden voortdurend op de hoogte gehouden van de stand van zaken.
In de meldingen van de datalekken die Cognizant deed, waarschuwde het bedrijf dat mogelijk gevoelige persoonlijke informatie zoals BSN-nummers, belastinggegevens, financiële informatie en gegevens over rijbewijzen en paspoorten waren gestolen. Het bedrijf waarschuwde medewerkers die in het bezit waren van een zakelijke creditcard dat de criminelen tijdens de aanval waarschijnlijk toegang hadden tot hun gegevens. De personen die het betrof kregen van Cognizant een jaar lang gratis controle op identiteitsfraude en darkweb-monitoring.
De schatting is dat de aanval met Maze-ransomware het bedrijf direct na afloop tussen de 50 en 70 miljoen dollar heeft gekost en dat het bedrijf later nog meer geld kwijt was voor het volledig herstel van de computersystemen.
Tot de klanten van Cognizant behoren bedrijven in de financiële dienstverlening zoals ING en Standard Life, autobedrijf Mitusbishi Motors en HR-dienstverlener PeopleSoft. Het bedrijf heeft niet naar buiten gebracht welke klanten door de aanval waren getroffen.
In augustus 2020 werd gemeld dat Canon het slachtoffer was geworden van een aanval met Maze-ransomware. De bende exfiltreerde zo'n 10 TB aan gegevens van Canon. De aanval trof ongeveer 25 verschillende Canon-domeinen en een aantal interne applicaties, waaronder e-mail en samenwerkingsdiensten.
Daarnaast werden de gebruikers van de 10 GB gratis opslagruimte slachtoffer van de aanval. Canon erkende dat alle gegevens en afbeeldingen die voor 16 juni 2020 waren opgeslagen verloren waren gegaan. Volgens het bedrijf waren er echter geen afbeeldingen gelekt. Hoewel de gegevens niet langer toegankelijk waren, stonden er nog steeds miniaturen online. Wanneer je echter op een van deze foto's klikte, verscheen een foutmelding op de website.
In juli 2020 beweerden de operators van Maze-ransomware dat ze hadden ingebroken in de systemen van Xerox. Ze dreigden enorme hoeveelheden gegevens te lekken als het bedrijf niet zou betalen. De groep plaatste een serie van tien schermafbeeldingen op hun website als bewijs van de inbraak. De schermafbeeldingen wezen erop dat de bende in het bezit was van gestolen gegevens die verband hielden met klantondersteuning.
De stad Pensacola in Florida was eind 2019 het slachtoffer van een aanval. De Maze-ransomwaregroep dreigde gegevens te lekken, tenzij 1 miljoen dollar aan losgeld werd betaald. Naar verluidt had de groep meer dan 32 GB aan gegevens gestolen uit de geïnfecteerde systemen. Ze lekten 2 GB als bewijs van de aanval.
Als gevolg van de aanval werden online betaaldiensten van Pensacola Energy en de City of Pensacola Sanitation Services stilgelegd. Gelukkig voor de inwoners had de aanval geen gevolgen voor andere diensten, zoals de politie en de brandweer.
Het advies is om dit niet te doen. Hoe meer mensen losgeld betalen, hoe waarschijnlijker het is dat criminelen in de toekomst vergelijkbare aanvallen uitvoeren.
Dat gezegd hebbende kunnen er bedrijven zijn die toch betalen, omdat ze bang zijn dat hun bedrijf het anders niet overleeft. Er is geen gemakkelijke oplossing voor dit probleem. Uiteindelijk moet iedere organisatie op basis van de eigen omstandigheden zelf een afweging maken. Wat het besluit ook is, het is altijd aan te raden om wetshandhavingsinstanties in te schakelen en nauw met deze samen te werken, zodat zij kunnen onderzoeken wie er achter de aanvallen zit.
Of organisaties nu betalen of niet, het is van essentieel belang om te begrijpen welke beveiligingsproblemen de aanval überhaupt mogelijk maakten. Organisaties moeten uitzoeken wat er fout ging en hoe ze dit kunnen verhelpen, zodat ze cyberaanvallen in de toekomst kunnen voorkomen.
Als antwoord op de tactiek van Maze-malware adviseert de FBI bedrijven om te overwegen proactief caches met dummygegevens te maken. Deze valse gegevens zijn bedoeld om het de aanvallers moeilijker te maken om echt belangrijke bestanden te stelen bij een hack.
Ransomware verandert voortdurend. De beste verdediging is proactieve preventie. Immers, wanneer gegevens eenmaal zijn versleuteld door malware of hackers is het vaak te laat om ze weer te herstellen.
Enkele tips voor organisaties om ransomware-aanvallen te voorkomen:
Met software en besturingssystemen die up-to-date zijn, ben je beter beschermd tegen malware. Installeer altijd de nieuwste patches en updates voor software zoals Microsoft Office, Java, Adobe Reader, Adobe Flash en internetbrowsers zoals Internet Explorer, Chrome, Firefox, Opera etc. Werk ook de browser-plugins bij. Als je een update installeert, profiteer je van de nieuwste beveiligingspatches, waardoor het voor cybercriminelen moeilijker is om misbruik te maken van zwakke plekken in je software.
Nu cybercriminaliteit steeds vaker voorkomt, is bescherming tegen ransomware belangrijker dan ooit. Bescherm computers tegen ransomware met een uitgebreide internetbeveiligingsoplossing zoals Kaspersky Internet Security. Wanneer je bestanden downloadt of aan het streamen bent, blokkeert de software geïnfecteerde bestanden. Zo voorkom je dat je systemen geïnfecteerd raken met ransomware en houd je cybercriminelen buiten de deur.
Gebruik een VPN voor toegang tot het netwerk in plaats van het RDP (Remote Desktop Protocol) bloot te stellen aan internet. Kaspersky Secure Connection biedt online privacy en toegang tot wereldwijde content.
Maak regelmatig een back-up van je gegevens op een veilige locatie elders, zodat je gestolen gegevens kunt terugzetten als je het slachtoffer van een aanval wordt. Dit gaat het gemakkelijkst als je automatische back-ups inschakelt, in plaats van te vertrouwen op de routines van gebruikers. Test back-ups regelmatig om er zeker van te zijn dat de gegevens worden opgeslagen.
Organisaties moeten hun medewerkers informeren over de methoden die cybercriminelen gebruiken om elektronisch te infiltreren in organisaties. Train alle medewerkers in de best practices van cybersecurity, zoals:
Het maakt niet uit of de Maze-ransomwaregroep wordt opgeheven of simpelweg transformeert in een andere criminele groep, de dreiging van ransomware blijft bestaan. Zoals altijd is het belangrijk om waakzaam te zijn en de voortdurend veranderende cyberdreigingen een stap voor te blijven.
Gerelateerde artikelen: