Bouyges, Cognizant und Xerox waren Opfer – nun will die Maze-Gruppe ihre Angriffe einstellen. Konkurrent REvil gibt derweil Einblicke in seine Strategie.
Die Gruppe hinter der Ransomware Maze trat erstmals im Mai 2019 in Erscheinung. Seither zeichnete sie für einige aufsehenerregende Angriffe verantwortlich. Zu ihren Opfern gehörten unter anderem im Januar 2020 der Baukonzern Bouyges, danach im April der IT-Riese Cognizant, der einen Schaden von bis zu 70 Millionen Dollar meldete. Weiter Conduent, LG Electronics, Xerox und als letzter grosser Name im August Canon USA.
Die Cyberkriminellen setzten bei ihren Lösegeldforderungen auf eine doppelte Strategie: Einerseits verschlüsselten sie Systeme, andererseits veröffentlichten sie angeblich gestohlene Daten. Zudem gründete Maze ein eigentliches Erpresser-Kartell, um gemeinsam mit weiteren Ransomware-Gruppen wie Ragnar Locker und LockBit entwendete Daten auf einer eigenen Site im Darknet zu veröffentlichen.
Seit Anfang Oktober 2020 kursierten Gerüchte, dass Maze seine Operationen eingestellt habe. Maze soll im September aufgehört haben, neue Firmen anzugreifen, und nur noch versucht haben, von den letzten Opfern Lösegeld zu erpressen. Gemäss 'Bleeping Computer' habe die Gruppe ihr "Ende" nun bestätigt. Maze habe damit begonnen, die Opfer zu entfernen, die auf ihrer Datenleckseite aufgelistet waren.
Angriffe mit neuer Ransomware Egregor gemäss ID-Ransomware. Screenshot: Bleeping Computer
Doch dies bedeutet nicht das Verschwinden der Hacker: Laut 'Bleeping Computer' sind viele Mitglieder und Partner von Maze auf eine neue Ransomware namens Egregor umgestiegen. Diese sei Mitte September in Betrieb genommen worden, gerade als Maze begann, die Angriffe einzustellen. Seitdem würden die Attacken damit sprunghaft ansteigen. Zudem würden bei Egregor ähnliche Bezeichnungen für Zahlungsseiten und viel vom gleichen Code wie bei Maze zum Einsatz kommen.
REvil nennt die anfälligsten Angriffsvektoren
Während es rund um Maze nun wohl ruhiger wird, will mit REvil eine weitere Ransomware-Gang verstärkt in die Offensive gehen. In einem auf Youtube veröffentlichten Interview kündigte die Gruppe an, bis Ende 2020 durch Erpressungen auf Einnahmen von 100 Millionen Dollar zu kommen. REvil war unter anderem für den Angriff auf die chilenische Banco Estado im September verantwortlich.
Im auf Russisch geführten Interview gibt ein angeblicher REvil-Vertreter auch Einblicke in die Strategie der Hacker. Gemäss 'Threatpost' erklärt er: "Letztendlich läuft alles darauf hinaus, dass man dazu übergeht, Daten durchsickern zu lassen und sie nicht nur zu verschlüsseln." Mit einer DDoS-Attacke soll die Website von Firmen und deren Infrastruktur angegriffen werden. Dies würde mit dem Sperren der Dateien und der Drohung kombiniert, diese zu veröffentlichen. "Das setzt sie sehr unter Druck."
Was den Erstzugriff auf Systeme betreffe, würden das Sammeln und Verwenden administrativer Zugangsdaten mit Malware, Brute-Force-Angriffe auf Remote-Desktop-Protokoll-Verbindungen und das Ausnutzen von Bugs die besten Angriffsvektoren bieten.
Die Cyberkriminellen setzen auf ein Partnermodell
Der Unbekannte bestätigte auch, dass REvil das "Ransomware-as-a-service"-Modell anwende, bei dem "Tochtergesellschaften", welche die Angriffe durchführen, 70 bis 80% der "Einnahmen" aus den Lösegeldern erhielten. Die eigentlichen REvil-Mitglieder würden sich unterdessen um die Lösegeldverhandlungen, die Entwicklung und Aktualisierung der Software, den Empfang der Zahlung und die Lieferung der Entschlüsselung kümmern.
Rund ein Drittel aller attackierten Unternehmen würden still und leise über die Zahlung des Lösegeldes verhandeln. Dabei würden IT-Anbieter, Versicherungsgesellschaften, Anwaltskanzleien, die verarbeitende Industrie und der agroindustrielle Sektor die lukrativsten Ziele bieten. Als nächstes, so droht der REvil-Hacker im Video, stehe ein "grosser Angriff in Verbindung mit einem sehr grossen Videospielentwickler" bevor.