Die SophosLabs haben einen intensiven Blick auf die Ransomware „Maze“ geworfen und geben interessante Einblicke in Werkzeuge, Techniken und Prozeduren.
Sie ist eine hochaktuelle, in den Medien aktuell präsente Bedrohung: Maze-Ransomware. Weiterentwickelt aus einer simplen Ransomware, gilt Maze inzwischen als besondere Gefahr, die sich dadurch auszeichnet, dass sie Datenverschlüsselung mit Informationsdiebstahl und der Bedrohung der Bloßstellung kombiniert. Ist Ransomware ohnehin ein heikles Thema in Unternehmen, wie die frisch veröffentliche weltweite Studie von Sophos „The State of Ransomware 2020″ deutlich zeigt, gewinnt Erpressungssoftware und hier eben insbesondere Maze gerade jetzt, in Zeiten von Lockdown, Homeoffice und skrupelloser, höchster Aktivität seitens der Cyberkriminalität noch einmal besonders an Brisanz. Maze ist aktuell nicht nur in aller Munde, sondern leider auch in den Systemen zahlreicher, namhafter Unternehmen.
Der kombinierte Ansatz von Verschlüsselung, Diebstahl und Drohgebaren, der Maze so besonders macht und der bereits von anderen Ransomware-Familien übernommen wurde (zum Beispiel Sodinokibi-Ransomware), ist kreiert worden, um massiven Druck auf das Opfer auszuüben. Das betroffene Unternehmen soll nur noch die Zahlung der Erpressungsgelder als Lösung seiner Situation in Betracht ziehen können. Was die Unternehmen teuer zu stehen kommt, wie wir aus der aktuellen Ransomware-Studie wissen https://news.sophos.com/de-de/2020/05/13/weltweite-ransomware-studie-wer-zahlt-zahlt-drauf/. Die Zahlung der Lösegelder führt demnach nämlich fast zu einer Verdopplung der Schadenskosten.
Offline-Backups, mehrschichtige Sicherheitslösungen und nicht bezahlen
Sophos-Principal-Researcher Chester Wisniewksi erklärt das Vorgehen der Maze-Erpresser und gangbare Wege, um sich davor zu schützen, so: „Ein effektives Backup-System, das Organisationen ermöglicht, ihre verschlüsselten Daten wiederherzustellen, und zwar ohne Lösegeldzahlungen, ist entscheidend für den Geschäftserfolg. Aber es ist nicht der einzige Faktor für die wirkliche Belastbarkeit gegenüber einer Ransomware-Attacke. Fortgeschrittene Gegner, wie die Entwickler hinter Maze-Ransomware, verschlüsseln nicht nur Dateien. Sie stehlen Daten, um Erpressungsmaterial zu haben. Einige versuchen auch, Backups zu löschen oder zu sabotieren, um es den Nutzern nahezu unmöglich zu machen, ihre Daten wiederherzustellen. Das bringt sie in die Position, Druck auf die Opfer zu erhöhen. Der Lösungsweg besteht für Unternehmen darin, Backups offline aufzubewahren und effektive, mehrschichtige Sicherheitslösungen zu verwenden, die Angriffe entdecken und blocken, und zwar in unterschiedlichen Stadien und damit den Diebstahl oder die Beschädigung von Daten zu verhindern. Organisationen müssen sicherstellen, dass Ransomware keinen Fuß in ihr Netzwerk bekommt, egal wo und wie Angreifer sich Zugang verschaffen.“
Info: Die komplette Analyse zur Maze-Ransomware findet sich hier:
https://news.sophos.com/en-us/2020/05/12/maze-ransomware-1-year-counting/
#Sophos
