Site Logo

Warum Maze-Ransomware so gefährlich für das Gesundheitswesen ist

Themen: COVID-19
27. Apr.. 2020
|
Christine Barry

Maze-Ransomware wird immer mehr zu einem bedeutenden Faktor bei Angriffen im Gesundheitswesen. Diese Angriffe haben ein solches Ausmaß erreicht, dass Interpol eine Warnung an Anbieter auf der ganzen Welt herausgegeben hat. Ransomware ist nichts Neues, doch sie entwickelt sich stetig weiter und passt sich an neue Gelegenheiten und Sicherheitsverbesserungen an.

Maze-Ransomware war zuvor als ChaCha-Ransomware bekannt und wurde erstmals im Mai 2019 beobachtet. Im November 2019 war Maze bereits aggressiver geworden und hatte sich zu einem dreigleisigen Angriff entwickelt: Exfiltrieren, Verschlüsseln und Erpressen. Dieser Angriff umfasst mehrere Schritte:


  1. Datenexfiltration – Nachdem er sich Zugriff auf den Computer verschafft hat, exportiert der Angreifer Daten, sodass sie für die letzte Phase des Angriffs zur Verfügung stehen.

  2. Backup-Löschung – Ransomware wird ausgeführt und beginnt mit dem Löschen von Backups und Schattenkopien und scannt dann nach bestimmten Arten von Dateierweiterungen, die verschlüsselt werden sollen.

  3. Verschlüsselung — Maze verschlüsselt die Dateien mit dem ChaCha-Algorithmus und verschlüsselt dann die ChaCha-Schlüssel erneut mit RSA-248. Jede verschlüsselte Datei wird mit einer zufälligen Erweiterung umbenannt.

  4. Lösegeldforderung – Sobald die Dateien verschlüsselt sind, erstellt Maze eine Lösegeldforderung mit dem Namen DECRYPT-FILES.txt in jedem der betroffenen Verzeichnisse. Diese Datei enthält Anweisungen und Links zu technischer Unterstützung, um den Opfern bei der Zahlung des Lösegelds zu helfen.

  5. Androhung der Veröffentlichung – Den Opfern wird nahegelegt, das Lösegeld zu zahlen, da sie sonst Gefahr laufen, dass ihre Informationen auf einer öffentlichen Website veröffentlicht werden. Bei den veröffentlichten Informationen könnte es sich um die Gesamtheit der exfiltrierten Daten oder um gerade genug Daten handeln, um zu beweisen, dass die Organisation kompromittiert wurde.


Eine der größten Veröffentlichungen medizinischer Daten scheint von den Medical Diagnostics Laboratories (MD Lab) aus New Jersey zu stammen ... Als MD Lab sich weigerte, der Lösegeldforderung nachzukommen, veröffentlichten die Hacker 9,5 GB an Forschungsdaten im Versuch, Verhandlungen mit dem Anbieter zu erzwingen. —Quelle

Wie bei allen Kriminellen kann auch bei den Maze-Angreifern nicht darauf vertraut werden, dass sie den Entschlüsselungscode tatsächlich liefern oder die exfiltrierten Daten nicht veröffentlichen oder verkaufen, selbst wenn Sie das Lösegeld zahlen.

Teil einer größeren Kampagne


Wenn es um den Gesamtangriff geht, findet sich Maze tatsächlich in der zweiten oder dritten Stufe einer Kampagne. Einer Warnung des FBI zufolge sind die ersten Schritte in einer Maze-Kampagne unterschiedlich und können Folgendes umfassen:

  • Spear-Phishing-Kampagnen, die Benutzer dazu verleiten, Zugangsdaten bereitzustellen oder bösartige Dateien herunterzuladen

  • Bösartige Websites, die Zugangsdaten sammeln oder ein Exploit-Kit oder andere bösartige Dateien auf dem Computer eines Opfers installieren. Diese Websites können sich als Seiten mit Regierungs- oder COVID-19-Bezug ausgeben.

  • Spam-Kampagnen, die infizierte Anhänge haben oder bösartige URLs enthalten


Interpol hat darauf hingewiesen, dass die Maze-Angriffe auf das Gesundheitswesen nur in Form mit der Pandemie zusammenhängender Phishing-E-Mails beobachtet wurden, die einen bösartigen Link zu der Malware im Hauptteil der Nachricht oder in einem Anhang enthalten.

Jüngste Forschungen haben außerdem gezeigt, dass Cyberkriminelle Ransomware nach wie vor gegenüber anderen Arten von Verbrechen bevorzugen. Die Angriffsfläche ist jetzt viel größer, da so viele Mitarbeiter im Home-Office arbeiten, wo ihnen möglicherweise der E-Mail-Schutz fehlt, den sie in einem Büro erhalten würden.

Um Ihr Unternehmen vor Ransomware zu schützen, setzen Sie mehrere Sicherheitsebenen ein, um sich gegen alle Bedrohungsvektoren zu verteidigen und umfassende Data Protection zu gewährleisten. Obwohl Ransomware-Angriffe auf verschiedene Weise durchgeführt werden können, sind E-Mails der Hauptvektor für diese Bedrohung. Der E-Mail-Schutz sollte Anti-Phishing-Technologien und Schulungen zur Stärkung des Risikobewusstseins umfassen, damit Endbenutzer diese Angriffe erkennen können, wenn sie in den Posteingang gelangen.

Weitere Informationen zu Ransomware finden Sie hier in unserem Blog und hier auf unserer Unternehmens-Website.

 

Christine Barry

Christine Barry is Senior Chief Blogger and Social Media Manager at Barracuda.  Prior to joining Barracuda, Christine was a field engineer and project manager for K12 and SMB clients for over 15 years.  She holds several technology and project management credentials, a Bachelor of Arts, and a Master of Business Administration.  She is a graduate of the University of Michigan.

Connect with Christine on LinkedIn here.

Verwandte Beiträge:
Warum Maze-Ransomware so gefährlich für das Gesundheitswesen ist
Warum Maze-Ransomware so gefährlich für das Gesundheitswesen ist
 A new innovation wave for email security
A new innovation wave for email security
Die FBI-Warnung vor Ransomware gilt für fast alle.
Die FBI-Warnung vor Ransomware gilt für fast alle.
 Asien-Pazifik-Bericht: So bewältigen Unternehmen die Sicherheitsherausforderungen von Remote-Arbeit
Asien-Pazifik-Bericht: So bewältigen Unternehmen die Sicherheitsherausforderungen von Remote-Arbeit