Co je Maze Ransomware a jak se proti němu chránit?
Maze ransomware se poprvé objevil v květnu 2019. Maze je jméno hackerské skupiny, která ho vytvořila, ale systém Maze nespouští oni. Místo toho skupina Maze půjčuje software dalším hackerským skupinám, které mají na mysli cíle. Útočník a dodavatel ransomwaru si pak rozdělí zisky získané z výkupného
Systém Maze není rozprostřen v seznamech. Používá se jako součást cílená kampaň to zahrnuje doxing, což je profilování jednotlivců. Množství výzkumu, které je nutné pro každý útok, je nákladné a časově náročné. Toto úsilí se vyplácí, protože ransomware Maze může procházet sítěmi. Používá se hlavně pro přístup ke cloudovým službám a poté se přesouvá do sítě každého ze zákazníků této služby.
Obsah [ skrýt ]
- Jak se Maze ransomware dostane do sítě?
- Jak Maze infikuje systém?
- Jak dochází k útoku ransomwaru Maze?
- Odkud je Maze?
- Jak se vypořádat s ransomwarem Maze
Jak se Maze ransomware dostane do sítě?
Hackeři používající Maze vyžadují platný uživatelský účet, a tak je první fáze útoku bludiště spear phishing . V této technice hackeři zkoumají jednotlivce pracující v organizaci a poté zahájí konverzaci na základě nějakého zájmu, o kterém zjistili, že daná osoba sleduje.
Počáteční známkou může být zaměstnanec na nízké úrovni. V tomto případě má hacker vliv na to, aby vysvětlil, kdo má na starosti toto oddělení a případně kdo pracuje v IT oddělení. Skupina hackerů nakonec vytvoří organizační schéma prostřednictvím těchto sociálních kontaktů a zjistí, kdo má privilegovaný přístup do systému. Tato osoba se pak stává primárním cílem. Hackeři chtějí účty na úrovni systému.
Zatímco někteří členové týmu hackerů se snaží oklamat zaměstnance, jiní členové budou zkoušet tradiční způsoby vstupu do systému s často používanými hesly, výchozími hesly výrobce nebo prolomením hesel, aby dostali klíčové přístupové body do sítě. Skupina se také pokusí získat a vzdálený přístup Trojan na zařízení s infikovaným .docx soubor jako přílohu e-mailu. Tak či onak může skupina získat uživatelský účet.
Jak Maze infikuje systém?
Jakmile je Maze na zařízení, vstoupí fázi výzkumu pomocí známých nástrojů pro testování systému, jako je smbtools.exe, Adfind, BloodHound, PingCastle, plus monitorování systému objev nástroje. Bude vyhledávat zranitelnosti sítě. Virus bude hledat otevřený přístup SMB, nastavení konfigurace síťového zařízení a možnost se do něj dostat Aktivní adresář instance.
Mezi nástroje operačního systému, které ransomware Maze nasazuje, patří Link-Local Multicast Name Resolution (LLMNR) vysílání a NetBIOS Name Service (NBT-NS) pokusit se identifikovat další počítače a zařízení. To také zachytí NT LAN Manager (NTLM) pakety, které obsahují přihlašovací údaje. Bude také nasazen Mimikatz na každém infikovaném koncovém bodu pokusit se zjistit přihlašovací údaje uživatele. Po získání názvu uživatelského účtu použije balíček Maze různé techniky k získání hesla.
Ransomware utratí několik dní prozkoumání systému, zmapování sítě a sestavení co největšího množství struktury přístupových práv. Virus působí velmi podobným způsobem jako běžný monitorování systému a nástroje pro správu. Pokouší se získat přístup k jiným koncovým bodům v síti. Pokud je systém poskytovatelem spravovaných služeb, virus se pokusí připojit ke klientským systémům a zahájí fázi výzkumu.
Při zkoumání každého nově zpřístupněného koncového bodu virus vyhledává soubory ve formátu prostého textu které mohou obsahovat informace o uživatelském účtu. Vyzkouší také prolomení hesla hrubou silou, aby se pokusil dostat do uživatelských a systémových účtů v zařízení. Systém má čas a bude neustále zkoumat, prohledávat různá zařízení a další skenovací techniky, aby našel uživatelské účty.
Jakmile Maze najde přihlašovací údaje uživatele, může se rychleji pohybovat po síti pomocí SMB a RPC služby k odesílání souborů a softwaru na jiná zařízení a případně na centrální servery systému. Virus také vytvoří jeho uživatelských účtů dostat se do služby správy přístupových práv (ARM) pro cílovou síť.
Hlavní problém boje s Maze spočívá v jeho schopnosti přejít na nová zařízení. Jakmile bude na jiném zařízení, tento extra modul infikuje všechna ostatní zařízení v síti. Pokud je tedy ransomwarový program objeven na jednom zařízení a odstraněn, toto zařízení může být rychle reinfikované z jiného infikovaného zařízení.
Jak dochází k útoku ransomwaru Maze?
Bludiště se po síti šíří velmi rychle. Jeho konečným cílem je zašifrovat všechny datové soubory požadovat výkupné. Jedním z důvodů, proč systém zpožďuje spuštění tohoto šifrování, je to, že to chtějí i hackeři za softwarem ukrást ta data . Když se tedy dostane do nového koncového bodu, vyhledá soubory, otevře připojení k internetu a poté tyto soubory přenese ven. Tým později hrozí uvolněte obsah těchto souborů veřejnosti nebo komunitě hackerů motivovat oběti k zaplacení výkupného.
Jakmile jsou všechna data ukradena, začne šifrování Maze. Šifrování se provádí dvěma šiframi, které jsou ChaCha20 a RSA . ChaCha20 je variací na šifru Salsa20. RSA je asymetrický šifrovací systém, který je široce používán jako součást bezpečnostního systému SSL. Implementace RSA Maze používá 2048bitový klíč. ChaCha20 používá 256bitový klíč.
Jak je každý soubor zašifrován, Maze dodává prodloužení navíc na konec svého názvu. Toto je náhodná série čtyř až sedmi znaků. Když jsou všechny soubory na zařízení zašifrovány, Maze změní tapetu plochy počítače, aby zobrazil požadavek na výkupné.
Uživatel je přesměrován na textový soubor, který ransomware zkopíroval do zařízení. Tomu se říká DECRYPT-FILES.txt . Vysvětluje, jak používat dešifrovací nástroj, který se také zkopíruje do zařízení. Tento nástroj má měřič dešifrování a umožňuje zdarma dešifrovat tři soubory. Zaplacením výkupného se kupují kredity za dešifrovač. Na obrazovce není uvedena cena.
Zatímco se na obrazovce napadeného počítače zobrazuje požadavek na výkupné, Maze také přehraje zvukový soubor, což je opakující se hlasová zpráva, která funguje jako alarm.
Soubor DECRYPT-FIES.txt vysvětluje, že oběť ano tři dny kontaktovat hackery, případně zveřejní oznámení o útoku na svých stránkách. To by bylo škodlivé, protože by to mohlo způsobit, že partnerské podniky, které provádějí analýzu rizik třetí strany, odstoupí od jednání s obětí. Pokud oběť nekontaktuje skupinu uvnitř sedm dní , skupina Maze uvolní všechna ukradená data.
Hrozba uvolnění dat je silná, protože to blokuje strategie obnovy, které by podniky nemusely platit, jako je vymazání a obnovení ze zálohy. Skupina si je velmi jistá svou silou a dokonce nabídkou podpora živého chatu pokud má správce systému potíže s používáním deskriptoru.
Oběť musí otevřít web Maze v prohlížeč Tor získat pokyny k platbě a poté získat dešifrovací klíč. Skupina také slibuje, že po provedení platby smaže všechna ukradená data, která drží.
Maze ransomware nemá pevné výkupné – pamatujte, že skupina spolupracuje s dalšími syndikáty kyberzločinu a rozděluje platby a každý partner bude mít jiná očekávání příjmu. Je však známo, že Maze výkupné je velmi vysoké . Hlášené požadavky se pohybují od 6 milionů do 15 milionů dolarů.
Odkud je Maze?
Hackeři za Maze nejsou jednou z hlavních skupin; ve skutečnosti nemají samostatný název – jsou známé jako Maze, stejně jako ransomware. Rutina v rámci šifrovacího systému kontroluje místní jazyk stroje a nespustí šifrovací útok, pokud je tento jazyk jedním z jazyků bývalého Sovětského svazu nebo srbštiny.
Blokování zasahování do počítačů používaných Rusy nebo obyvateli států spřízněných s Ruskem činí více než pravděpodobné, že hackerská skupina Maze je se sídlem v Rusku . Kód sady programů Maze je dobře uspořádaný a adekvátně komentovaný. To naznačuje, že tvůrci systému jsou profesionálních programátorů . Kód je bez chyb a funguje dobře.
Systém obsahuje několik technik znejasňování a skládá se z několika modulů, které se vzájemně podporují a vyměňují si data. To znamená, že ransomware byl vyvinut společností zkušení návrháři systémů a vedou ji projektoví manažeři. Jeho vývoj zahrnoval komplexní testování. Maze tedy není produktem amatérů a je produktem dobře řízeného skupinového úsilí.
Jak se vypořádat s ransomwarem Maze
Jedna dobrá zpráva o Maze je, že 1. listopadu 2020 skupina oznámila, že ano zastavení útoků . Není však důvod jim nevěřit. Nedostatek hlášených útoků také nenaznačuje, že k žádným útokům nedošlo. Pokud došlo k příměří, pak si nikdo nemůže být jistý, že bude trvalé.
Hrozba prozrazení dat znamená, že je náročné ignorovat požadavek na výkupné v bludišti. Pokud je vaše podnikání vázáno na standard ochrany osobních údajů, jako je např HIPAA , PCI DSS nebo GDPR Pokuty a kompenzace, které byste museli zaplatit za toto zveřejnění, by nakonec mohly stát více než výkupné. Skupina Maze byla velmi chytrá.
Jediný jistý způsob přežít útok bludiště znamená v první řadě zabránit tomu, aby k němu došlo. Naštěstí některé vynikající obranné systémy proti malwaru blokují ransomware Maze. Skupina Maze se může vrátit s upravenou verzí, která se vyhýbá detekčním systémům nastaveným tak, aby odhalily původní bludiště. Existují však možnosti antimalwaru, které jsou k dispozici odolný vůči budoucnosti protože hledají anomální aktivitu spíše než konkrétní názvy souborů. To je užitečné zejména pro Maze, který se chová spíše jako zasvěcená hrozba než jako virový útok.
Zvažte následující bezpečnostní systémy na obranu proti ransomwaru Maze.
1. CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
CrowdStrike Falcon Insight je dobrou volbou pro boj s ransomwarem Maze. CrowdStrike má výzkumnou laboratoř a ví vše o Maze a o tom, jak funguje, takže blokovací rutiny proti ransomwaru jsou zabudovány do tohoto balíčku.
Systém Insight nabízí koordinované pokrytí všechny koncové body . To je velmi užitečné pro problém Maze, když přeinstaluje svůj software na koncovém bodu, který byl vyčištěn z jiného infikovaného koncového bodu.
Insight je umístěn v cloudu a přijímá zprávy z rezidentních modulů koncových bodů. Zavolá se monitorovací software nainstalovaný na každém koncovém bodu Falcon Prevent , který je k dispozici jako samostatný produkt. Jedná se o antivirový systém nové generace, který hledá abnormální chování. Nahrává zprávy koordinátorovi Insight. Insight může poslat okamžité pokyny všem koncovým bodům, jakmile je na jednom místě zaznamenána infekce Maze. Odstranění se tedy může shodovat na všech zařízeních v síti.
Insight řídí reakce na hrozbu stejně jako detekce. Kroky nápravy mohou zahrnovat pozastavení uživatelského účtu, izolaci zařízení od sítě a uzamčení souborů pro Active Directory. Insight funguje dobře proti zasvěcené hrozby a vniknutí stejně jako viry.
Můžete získat 15denní bezplatnou zkušební verzi Falcon Prevent.
CrowdStrike Falcon Prevent Start 15denní zkušební verze ZDARMA
dva. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus je ochranný systém pro citlivých údajů . Jak bylo vysvětleno, hrozba, že Maze zveřejní data, která ukradne, představuje vážný problém pro podniky, které dodržují standard ochrany osobních údajů. DataSecurity Plus zajišťuje bezpečnost citlivých dat.
Systém vyhledá úložiště dat ve všech vašich sítích a poté klasifikuje údaje v každém. To vám umožní přesně vědět, kde jsou všechna cenná data.
Systém ManageEngine také zahrnuje a monitor integrity souborů které mohou každý přes tato citlivá data umístění a hlásit všechny pokusy o přístup. To uzamkne data, která si opravdu nemůžete dovolit uniknout. Díky ochraně základních informací můžete rozumně ignorovat hrozby Maze i když se dostanou dovnitř. Pokračujte a vymažte všechny koncové body a obnovte je ze zálohy.
ManageEngine DataSecurity Plus je k dispozici pro a 30denní bezplatná zkušební verze .