Warum Maze-Ransomware so gefährlich für das Gesundheitswesen ist

Druckfreundlich, PDF & E-Mail

Maze-Ransomware wird immer mehr zu einem bedeutenden Faktor bei Angriffen im Gesundheitswesen. Diese Angriffe haben ein solches Ausmaß erreicht, dass Interpol eine Warnung an Anbieter auf der ganzen Welt herausgegeben hat. Ransomware ist nichts Neues, doch sie entwickelt sich stetig weiter und passt sich an neue Gelegenheiten und Sicherheitsverbesserungen an.

Maze-Ransomware war zuvor als ChaCha-Ransomware bekannt und wurde erstmals im Mai 2019 beobachtet. Im November 2019 war Maze bereits aggressiver geworden und hatte sich zu einem dreigleisigen Angriff entwickelt: Exfiltrieren, Verschlüsseln und Erpressen. Dieser Angriff umfasst mehrere Schritte:

  1. Datenexfiltration – Nachdem er sich Zugriff auf den Computer verschafft hat, exportiert der Angreifer Daten, sodass sie für die letzte Phase des Angriffs zur Verfügung stehen.
  2. Backup-Löschung – Ransomware wird ausgeführt und beginnt mit dem Löschen von Backups und Schattenkopien und scannt dann nach bestimmten Arten von Dateierweiterungen, die verschlüsselt werden sollen.
  3. Verschlüsselung – Maze verschlüsselt die Dateien mit dem ChaCha-Algorithmus und verschlüsselt die ChaCha-Schlüssel anschließend erneut mit RSA-248. Jede verschlüsselte Datei wird mit einer zufälligen Erweiterung umbenannt.
  4. Lösegeldforderung – Sobald die Dateien verschlüsselt sind, erstellt Maze eine Lösegeldforderung mit dem Namen DECRYPT-FILES.txt in jedem der betroffenen Verzeichnisse. Diese Datei enthält Anweisungen und Links zu technischer Unterstützung, um den Opfern bei der Zahlung des Lösegelds zu helfen.
  5. Androhung der Veröffentlichung – Den Opfern wird nahegelegt, das Lösegeld zu zahlen, da sie sonst Gefahr laufen, dass ihre Informationen auf einer öffentlichen Website veröffentlicht werden. Bei den veröffentlichten Informationen könnte es sich um die Gesamtheit der exfiltrierten Daten oder um gerade genug Daten handeln, um zu beweisen, dass die Organisation kompromittiert wurde.

Eine der größten Veröffentlichungen medizinischer Daten scheint von den Medical Diagnostics Laboratories (MD Lab) aus New Jersey zu stammen ... Als MD Lab sich weigerte, der Lösegeldforderung nachzukommen, veröffentlichten die Hacker 9,5 GB an Forschungsdaten im Versuch, Verhandlungen mit dem Anbieter zu erzwingen. – Quelle

Wie bei allen Kriminellen kann auch bei den Maze-Angreifern nicht darauf vertraut werden, dass sie den Entschlüsselungscode tatsächlich liefern oder die exfiltrierten Daten nicht veröffentlichen oder verkaufen, selbst wenn Sie das Lösegeld zahlen.

Teil einer größeren Kampagne

Wenn es um den Gesamtangriff geht, findet sich Maze tatsächlich in der zweiten oder dritten Stufe einer Kampagne. Einer Warnung des FBI zufolge sind die ersten Schritte in einer Maze-Kampagne unterschiedlich und können Folgendes umfassen:

  • Spear-Phishing-Kampagnen, die Benutzer dazu verleiten, Anmeldedaten preiszugeben oder bösartige Dateien herunterzuladen
  • Bösartige Websites, die Anmeldeinformationen sammeln oder ein Exploit-Kit oder andere bösartige Dateien auf dem Computer eines Opfers installieren. Diese Websites können sich als Seiten mit Regierungs- oder COVID-19-Bezug ausgeben.
  • Spam-Kampagnen, die infizierte Anhänge haben oder bösartige URLs enthalten

Interpol hat darauf hingewiesen, dass die Maze-Angriffe auf das Gesundheitswesen nur in Form mit der Pandemie zusammenhängender Phishing-E-Mails beobachtet wurden, die einen bösartigen Link zu der Malware im Hauptteil der Nachricht oder in einem Anhang enthalten.

Jüngste Forschungen haben außerdem gezeigt, dass Cyberkriminelle Ransomware nach wie vor gegenüber anderen Arten von Verbrechen bevorzugen. Die Angriffsfläche ist jetzt viel größer, da so viele Mitarbeiter im Home-Office arbeiten, wo ihnen möglicherweise der E-Mail-Schutz fehlt, den sie in einem Büro erhalten würden.

Um Ihr Unternehmen vor Ransomware zu schützen, setzen Sie mehrere Sicherheitsebenen ein, um sich gegen alle Bedrohungsvektoren zu verteidigen und eine umfassende Datensicherung zu gewährleisten. Obwohl Ransomware-Angriffe auf verschiedene Weise durchgeführt werden können, sind E-Mails der Hauptvektor für diese Bedrohung. Der E-Mail-Schutz sollte Anti-Phishing-Technologien und Schulungen zum Sicherheitsbewusstsein umfassen, damit Endbenutzer diese Angriffe erkennen können, wenn sie in ihr Postfach gelangen.

Weitere Informationen zu Ransomware finden Sie hier in unserem Blog und auf unserer Unternehmens-Website.

 

Nach oben scrollen
Twittern
Teilen
Teilen