Utpressningsviruset Maze – innebörd och definition
Utpressningsviruset Maze är en sofistikerad sträng av utpressningsvirus anpassat för Windows som används mot organisationer över hela världen i flera olika branscher. Liksom andra utpressningsvirus kräver Maze en betalning i kryptovaluta i utbyte mot återställande av krypterad data.
Om den som drabbats av utpressningsviruset vägrar betala hitar brottslingarna med att läcka offrets hemligstämplade uppgifter. Detta beteende blir allt vanligare bland nyare utpressningsvirus, inklusive REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop med flera.
Vad är utpressningsviruset Maze?
Maze är en variant av utpressningsviruser ChaCha och upptäcktes första gången i maj 2019. Ända sedan december 2019 har Maze används väldigt aktivt för att angripa offer i ett antal olika industrier.
Hur fungerar utpressningsviruset Maze?
Maze distribueras främst genom:
- Skräppost, ofta innehållande skadliga länkar eller bilagor (främst Word- eller Excel-filer)
- ”Brute force”-attacker genom RDP
- Med ett ”exploit kit”
I vissa fall kommer angreppet från en av organisationens klienter eller samarbetspartners som redan fallit offer för hackarna. När Maze fått tillgång till ett nätverk försöker sedan operatörerna skaffa sig högre befogenheter så de kan sprida filkrypteringen till alla enheter. Maze är extra farligt eftersom det också stjälar datan det hittar och exfiltrerar den till servrar som styrs av ondsinta hackers som sedan hotar att släppa datan om en lösensumma inte betalas.
Organisationer kan eventuellt återställa sin data från en säker säkerhetskopieringskälla för komma på fötter igen (förutsatt att säkerhetskopieringen inte infekterats), men detta ändrar inte på faktumet att brottslingarna nu har en kopia av organisationens data. I praktiken är Maze en kombination av en utpressningsvirusattack och ett dataintrång.
Webbplatsen för utpressningsviruset Maze
Mazes skapare driver en webbplats där de har en lista över sina offer (som de kallar ”klienter”). På webbplatsen lägger de ofta upp utdrag ur datan de stulit som ett sorts straff. Webbplatsen innehåller detaljerade uppgifter om när offren angreps med utpressningsviruset Maze, samt nedladdningslänkar till den stulna datan och dokument som ”bevis”. Som en provokation är webbplatsens ironiska slogan ”Keeping the world safe” (Håller världen söker) och har till och med delningsknappar för sociala medier så att informationen om dataintrången lätt kan delas.
Mazes webbplats varnar offren att om de inte betalar lösensumman kommer de:
- Offentliggöra detaljer kring säkerhetsintrången och informera media
- Sälja stulen information med kommersiellt värde på dark web
- Informera relevanta börser och hackandet och att känslig information gått förlorad för att tvinga ner företagets aktievärde
- Använda stulen information för att angripa klienter och samarbetspartners, samt informera dem om att företaget blivit hackat
Man tror att Maze arbetar genom samarbetsnätverk där utvecklarna delar sina inkomster med olika grupper som använder Maze i organisatoriska nätverk.
Under 2020 slog sig brottslingarna bakom Maze sig samman med två andra cyberbrottsgrupper, LockBit och RagnarLocker, vilket i praktiken ledde till bildandet av en utpressningsviruskartell. Brottslingarna slog sina påsar ihop och data som stulits av dessa grupper lades upp på Mazes webbplats. Efter att samarbetet inleddes började Maze använda utförandetekniker som annars bara tidigare använts av RagnarLocker.
Utpressningsviruset Mazes slut?
Mot slutet av 2020 gick gruppen bakom utpressningsviruset Maze ut med att man skulle lägga ner verksamheten i ett osammanhängande uttalande. De sa att de inte längre skulle uppdatera sin webbplats och att offren som ville få sin data nedtagen kunde kontakta deras ”supportchatt”.
Gruppen hävdade att de hade börjat angripa organisationer för att informera om cybersäkerhet. Samtidigt hävdade de, något förvirrande, att gruppen aldrig faktiskt existerat förutom i tankarna hos de journalister som skrev om den.
De hävdade också att de hade tillgång till IT-systemen på delstatsregeringen i New York och på flera internetleverantörer (ISP) men att de valt att inte attackera dem.
Gruppens uttalande om att de lösts upp bör tas med en nypa salt. Vi har tidigare sett hur utpressningsvirusoperatörer GrandCrab uppgett att de skulle lägga ner. De kom senare tillbaka som gruppen bakom REvil/Sodinokibi. Man har sett likheter mellan Maze och två nya utpressningsvirussträngar, Egregor och Sekhmet. Detta ger en tydlig fingervisning om att gruppen helt enkelt gått över till en ny våg cyberattacker.
Exempel på angrepp med utpressningsviruset Maze
Bland de mer högprofilerade attackerna med utpressningsviruset Maze finns:
Attack med utpressningsviruset Maze mot Cognizant
Ett av de mest högprofilerade attackerna som utfördes med utpressningsviruset Maze riktades mot Cognizant, ett Fortune 500-företag och en av de största IT-tjänsteleverantörerna i världen.
I april 2020 utsattes Cognizant för ett angrepp från gruppen bakom utpressningsviruset Maze, vilket orsakade störningar i tjänsterna de levererade till sina kunder. Angreppet krypterade och slog ut ett antal interna system och tvingade företaget att stänga ner andra system.
Attacken ägde rum samtidigt som covid-19-pandemin började ta fart och personalen jobbade hemifrån. Genom att orsaka störningar i de datorsystem som låg bakom den virtuella skrivbordsinfrastrukturen påverkades de anställdas förmåga att jobba. Interna kataloger raderades, vilket gjorde det svårare för personalen att kommunicera med varandra, samt att det blev svårare för försäljningsteamet att kommunicera med potentiella och etablerade klienter. I vissa fall kunde man inte komma åt e-postfunktioner.
Vissa Cognizantkunder valde att skydda sig från den skadliga programvaran genom att återkalla Cognizants tillträde till deras nätverk, vilket i praktiken ledde till att man var tvungen att pausa projekt. Cognizant kontaktade ledande cybersäkerhetsexperter för att be dem assistera deras interna IT-säkerhetsteam. Utpressningsvirusattacken mot Cognizant rapporterades också till brottsbekämpande organ och Cognizants klienter fick kontinuerliga uppdateringar.
I dataintrångsnotifikationerna varnade Cognizant att känsliga personuppgifter såsom personnummer, skatteregistreringsnummer, ekonomiska uppgifter, körkort och pass kan ha stulits. Anställda med företagsbetalkort blev varnade att dessa troligen skördats i attacken. Cognizant erbjöd de drabbade ett års kostnadsfritt ID-skydd och dark web-övervakning.
Det uppskattas att utpressningsvirusattacken med Maze mot Cognizant kostade företaget mellan 50 och 70 miljoner dollar på kort sikt, plus ytterligare kostnader för att återställa datorsystemen.
Cognizant tillhanda håller ekonomiska tjänster för företagen ING och Standard Life, motorföretaget Mitsubishi Motors och HR-tjänstföretaget PeopleSoft. Företaget gick inte ut med vilka klienter som påverkats av angreppet.
Attack med utpressningsviruset Maze mot Canon
I augusti 2020 kom rapporter om att Canon utsatts för ett angrepp med utpressningsviruset Maze. Gänget exfiltrerade uppåt 10 TB data från Canon. Händelsen drabbade omkring 25 olika Canondomäner och ett antal interna applikationer, inklusive e-post- och samarbetstjänster.
Maze-utpressningsattacken påverkade användare som använde det 10 GB stora kostnadsfria lagringsutrymmet. Canon tillkännagav att all data och alla bilder som sparats före 16 juni 2020 hade gått förlorade, men att ingen bilddata läckt. Även om de inte gick att öppna kunde man fortfarande se indexbilder för denna information online. Men om man klickade på bilden uppstod ett fel på webbplatsen.
Attack med utpressningsviruset Maze mot Xerox
I juli 2020 hävdade operatörerna bakom utpressningsviruset Maze att de tagit sig in i Xerox system och hotade att läcka enorma mängder data om de inte fick betalt. Gruppen la upp tio skärmbilder på sin webbplats som bevis för att intrånget ägt rum. Dessa skärmbilder indikerade att gänget hade stulit data som berörde kundtjänstverksamheten.
Attack med utpressningsviruset Maze mot staden Pensacola
Staden Pensacola i Florida attackerades i slutet av 2019. Gruppen bakom utpressningsviruset Maze hotade med att läcka data om inte en lösensumma på 1 miljon dollar betalades. Enligt uppgift hade gruppen stulit mer än 32 GB data från stadens infekterade system. De läckte 2 GB data som bevis för att attacken ägt rum.
Maze-attacken ledde till att onlinebetalningstjänster från Pensacola Energy och stadens sanitetstjänster stoppades. Som tur var för invånarna drabbades inte tjänster såsom polis eller brandkår.
Bör man betala lösensumman om man utsätts för en attack med utpressningsviruset Maze?
Det är inte rekommenderat. Ju fler som betalar lösensumman, desto mer sannolikt är det att brottslingarna kommer använda sig av liknande attacker i framtiden.
Med det sagt upplever en del företag att de inte kan överleva om de inte betalar. Det finns inga enkla svar, och i slutändan är det ett beslut som varje organisation måste fatta på egen hand utifrån deras omständigheter. Oavsett vilket beslut man kommer fram till är det rekommenderat att koppla in brottsbekämpande organ och samarbeta nära med dem så de kan undersöka vem som kan tänkas ligga bakom angreppet.
Oavsett om organisationen betalar är det viktigt att förstå vilka säkerhetsproblem som ledde fram till attacken. Organisationer bör ta reda på vad som gick fel och ur det kan åtgärdas för att undvika framtida cyberbrott.
Som svar på hur utpressningsviruset Maze arbetar rådde FBI företag att skapa cacheminnen med falsk data. Samlingar med falsk data är utformade för att göra det svårare för hackers att själa filer som är genuint viktiga under intrånget.
Hur skyddar man sig mot angepp med utpressningsviruset Maze?
Utpressningsvirus utvecklas ständigt. Det bästa försvaret är proaktivt förebyggande eftersom det ofta är försent att återställa data när den väl krypterats av skadlig programvara eller hackare.
Tips till organisationer som kan hjälpa dem förebygga utpressningsvirusattacker:
1. Håll programvara och operativsystem uppdaterade
Genom att hålla programvara och operativsystem uppdaterade kan man skydda sig mot skadlig programvara. Installera patchar och uppdateringar för program som Microsoft Office, Java, Adobe Reader, Adobe Flash och webbläsare som Internet Explorer, Chrome, Firefox, Opera och så vidare, samt insticksprogram för webbläsare. När du kör en uppdatering drar du nytta av de senaste säkerhetspatcharna, vilket gör det svårare för cyberbrottslingar att utnyttja sårbarheter i programvaran.
2. Använd säkerhetsprogramvara
I takt med att cyberbrottsligheten blir allt mer utbredd blir det allt viktigare att skydda sig mot utpressningsvirus. Skydda datorer mot utpressningsvirus med en omfattande internetsäkerhetslösning som Kaspersky Internet Security. När du hämtar eller strömmar blockerar programvaran infekterade filer, vilket förhindrar att utpressningsvirus smittar datorn och håller cyberbrottslingar borta.
3. Använd ett VPN för att ansluta till nätverket
Använd ett VPN när du ansluter till nätverk istället för att synliggöra ditt Remote Desktop Protocol (RDP) på internet. Kaspersky Secure Connection säkerställer din integritet online och ger tillgång till globalt material.
4. Säkerhetskopiera data
Säkerhetskopiera din data regelbundet på en säker extern plats så att du kan återställa stulen data om du utsätts för en attack. Ett lätt sätt att göra detta är att aktivera automatiskt säkerhetskopierade istället för att förlita sig på att en användare ska komma ihåg att göra det regelbundet. Säkerhetskopierade filer bör testas regelbundet för att säkerställa att datan sparats.
5. Utbilda och informera personalen om cybersäkerhetsrisker
Organisationer bör säkerställa att personalen är informerad om vilka metoder cyberbrottslingar använder för att elektroniskt infiltrera organisationer. Utbilda all personal i bästa praxis vad gäller cybersäkerhet, såsom:
- Undvik att klicka på länkar i skräppost eller på obekanta webbplatser. Hämtningar som startar när du klickar på skadliga länkar är ett sätt som datorer kan infekteras på.
- Undvik att ladda ner programvara eller mediafiler från okända webbplatser.
- Öppna inte e-postbilagor från avsändare som du inte litar på. Kontrollera vem e-postmeddelandet kommer från och bekräfta att e-postadressen är korrekt. Gör en bedömning av om en bilaga ser äkta ut innan du öppnar den. Om du är osäker kontaktar du den person som du tror har skickat den och dubbelkollar.
- Om du får ett samtal, SMS eller e-post från en ej tillförlitlig källa där du uppmanas att ange personlig information ska du inte göra det.
- Använd endast säker teknik för fjärranslutningar i ett lokalt företagsnätverk.
- Använd klientsäkerhet med beteendedetektering och automatisk filåterställning, som Kaspersky Endpoint Security for Business.
- Använd svårknäckta, unika lösenord för att skydda känslig data och konton. Aktivera även flerstegsverifiering.
- Kryptera känsliga data när så är möjligt.
Oavsett om gruppen bakom utpressningsviruset Maze lösts upp eller bara bytt from till en annan brottslig organisation så kvarstår hotet från utpressningsvirus. Liksom alltid krävs vaksamhet för att kunna skydda sig mot cyberhot som ständigt utvecklas.
Relaterade artiklar: