Der Sicherheitsanbieter Sophos veröffentlichte seinen Report „Maze Attackers Adopt Ragnar Locker Virtual Machine Technique“. In diesem Bericht beschreiben die Security-Experten, wie Cyberkriminelle bei einem Angriff auf drei unterschiedliche Arten versuchten, die Ransomware Maze bei ihrem Opfer zu aktivieren. Als Lösegeld verlangten die Kriminellen 15 Millionen Dollar. Maze ist eine der berüchtigtsten Ransomware-Familien und seit 2019 aktiv. Sie entwickelte sich aus der ChaCha-Ransomware und ist eine der ersten, die Datenverschlüsselung mit Informationsdiebstahl kombinierte.
Die Cyberkriminellen hinter Maze sind hartnäckig und versuchen die Ransomware auf unterschiedliche Arten im Unternehmen zu verbreiten. Forensische Untersuchungen ergaben laut Sophos, dass die Angreifer mindestens sechs Tage vor ihrem ersten Versuch, die Ransomware zu aktivieren, in das Netzwerk eingedrungen waren. Während dieser Zeit erkundeten sie die Netzinfrastruktur, starteten reguläre Tools von Drittanbietern, stellten Verbindungen her und leiteten Daten zu einem Cloud-Speicherdienst. Diese Schritte dienten der Vorbereitung für die eigentliche Ransomware.
Nach Aktivierung der Ransomware verlangten die Cyberkriminellen ein Lösegeld in Höhe von 15 Millionen Dollar. Das Opfer zahlte die Summe jedoch nicht, und als die Angreifer merkten, dass der erste Angriff fehlgeschlagen war, starteten sie einen zweiten, modifizierten Versuch. Security-Lösungen und das Sophos „Managed Threat Response“ (MTR)-Team, das für die Reaktion auf den Vorfall zuständig war, entdeckten und wehrten diesen ab. Doch die Maze-Angreifer gaben noch nicht auf. Beim dritten Versuch verwendeten sie eine neu konfigurierte Version der Ragnar-Locker-VM-Technik unter Einsatz von Windows 7 anstelle der Windows XP-VM. Zudem konzentrierten sie den Angriff nur auf einen Datei-Server. Auch hier fand eine Erkennung und Blockade dieses Versuchs statt.
Zur Abwehr von Cyberattacken, insbesondere von Ransomware, empfehlen die Sophos- Security-Spezialisten eine Verkleinerung der Angriffsfläche. Mehrschichtige und Cloud-basierte Security-Lösungen mit wirksamem Ransomware-Schutz sollen dies erreichen können. Zudem sollten Mitarbeiter geschult sein und wissen, worauf sie achten müssen. Auch kann das Einrichten oder beauftragen eines Threat-Hunting-Services entscheidend dazu beitragen, aktive Attacken zu identifizieren, so Sophos.
Weitere Informationen finden Interessierte unter www.sophos.com.