Vertrieb kontaktieren
Home  /  Ransomware  / Weg aus dem Labyrinth: Eine Kurzanleitung zur Verteidigung gegen Maze Ransomware
Weg aus dem Labyrinth: Eine Kurzanleitung zur Verteidigung gegen Maze Ransomware

Weg aus dem Labyrinth: Eine Kurzanleitung zur Verteidigung gegen Maze Ransomware

Geschrieben von Jayesh Kulkarni
Jayesh Kulkarni
Ransomware

Ab Ende 2019 wurde MAZE Ransomware für ihre Verschlüsselung, den Datendiebstahl und den anschließenden Verkauf der gestohlenen Daten berüchtigt. Weitere Gründe für ihre Popularität sind die einzigartigen Ziele und die Lösegeldforderungen.

Seit ihrer Einführung im Mai 2019 zielen die MAZE-Akteure auf verschiedene Sektoren ab, insbesondere auf das Gesundheitswesen und die Forschung, die sensible Daten speichern. Auch staatliche und private Unternehmen sind beliebte Ziele dieser Ransomware. In mehreren Fällen gaben sich Angreifer als Regierungsbehörden oder Sicherheitsanbieter aus und forderten Benutzer auf, Anhänge in E-Mails/Websites zu öffnen. In einigen Fällen waren die Computer der Opfer bereits lange vor den eigentlichen Ransomware-Angriffen gehackt. Die Lösegeldforderungen der Maze-Gruppe variieren je nach den aus einem kompromittierten Netzwerk (Opfer) erlangten Daten und der Zahlungsfähigkeit des Opfers. Die Forderungen bestanden meist in Bitcoins und lagen zwischen einigen Hundert und einigen Millionen Dollar.

Maze nutzte E-Mails, RDP und Exploit-Kits wie Fallout EK und Spelevo EK, die Schwachstellen im Adobe Flash Player und Internet Explorer ausnutzten (z. B. CVE-2018-8174, CVE-2018-4878 und CVE-2018-15982). Obwohl es sich um vergangene Fälle handelt, besteht die Möglichkeit, dass MAZE-Akteure andere Vektoren nutzen, um eine neue Angriffswelle durchzuführen.

Hier ist eine typische Lösegeldforderung, die von Maze Ransomware verwendet wird. Diese Lösegeldforderung wird in jedem verschlüsselten Ordner abgelegt.

Lösegeldforderung

 

Wenn das Opfer nach einem erfolgreichen Angriff nicht auf die Lösegeldforderungen reagiert, veröffentlichen die Angreifer die verschlüsselten Daten oder verkaufen sie in Untergrundforen.

Quick Heal-Produkte sind mit mehrschichtigen Erkennungstechnologien wie IDS/IPS, DNA-Scan, E-Mail-Scan, BDS, Web Protection und patentierter Anti-Ransomware-Erkennung ausgestattet. Dieser mehrschichtige Sicherheitsansatz hilft uns, unsere Kunden effizient vor Maze Ransomware und anderen bekannten und unbekannten Bedrohungen zu schützen.

 

Vorsichtsmaßnahmen:

Zu den häufigsten Infektionsvektoren der Maze Ransomware zählen Phishing-E-Mails mit MS-Office-Anhängen und gefälschte/Phishing-Websites mit Exploit-Kits. Daher raten wir unseren Endbenutzern zur Vorsicht beim Umgang mit E-Mails aus unbekannten Quellen, beim Herunterladen von MS-Office-Anhängen, beim Aktivieren von Makros und beim Klicken auf verdächtige Links.

Hier sind einige zusätzliche Richtlinien, die dazu beitragen, die Angriffsfläche und mögliche Schäden an der IT-Infrastruktur zu minimieren.

 

Patchen Sie das Betriebssystem und die Software:

  • Halten Sie Ihr Betriebssystem und andere Software auf dem neuesten Stand. Software-Updates enthalten häufig Patches für neu entdeckte Sicherheitslücken, die von Angreifern ausgenutzt werden könnten.
  • Wenden Sie Patches und Updates für Software wie Microsoft Office, Java, Adobe Reader, Adobe Flash und Internetbrowser wie Internet Explorer, Chrome, Firefox, Opera usw. an, einschließlich Browser-Plugins
  • Halten Sie Ihre Sicherheitssoftware (Antivirus, Firewall usw.) immer auf dem neuesten Stand, um Ihren Computer vor neuen Varianten von Malware zu schützen.
  • Laden Sie keine gecrackte oder raubkopierte Software herunter, da dadurch die Gefahr besteht, dass Schadsoftware über eine Hintertür in Ihren Computer gelangt.
  • Vermeiden Sie das Herunterladen von Software von nicht vertrauenswürdigen P2P- oder Torrent-Sites. In den meisten Fällen enthalten diese schädliche Software

 

Benutzer und Berechtigungen:

  • Überprüfen Sie „Lokale/Domänenbenutzer“ und entfernen/deaktivieren Sie unerwünschte Benutzer.
  • Ändern Sie die Passwörter ALLER Benutzerkonten und legen Sie einzigartige, komplexe Passwörter fest (mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen, die noch nie verwendet wurden). Ein schlechtes Beispiel wären jedoch gängige Passwörter wie P@ssw0rd, Admin@123# usw.)
  • Legen Sie Richtlinien für das Ablaufen von Passwörtern und die Sperrung von Konten fest (für den Fall, dass das falsche Passwort eingegeben wird).
  • Weisen Sie Benutzern keine Administratorrechte zu.
  • Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung, um sicherzustellen, dass alle Anmeldungen legitim sind.
  • Bleiben Sie nicht als Administrator angemeldet, es sei denn, es ist unbedingt erforderlich.
  • Vermeiden Sie das Surfen im Internet, das Öffnen von Dokumenten oder andere normale Arbeitsaktivitäten, während Sie als Administrator angemeldet sind.

 

Makros für Microsoft Office deaktivieren:

  • Aktivieren Sie beim Ausführen des Dokuments nicht standardmäßig „Makros“ oder den „Bearbeitungsmodus“, insbesondere nicht bei per E-Mail empfangenen Anhängen. Viele Malware-Infektionen sind auf Ihre Aktion zum Aktivieren von Makros angewiesen.
  • Erwägen Sie die Installation von Microsoft Office Viewern. Mit diesen Viewern können Sie Dokumente anzeigen, ohne sie in Word oder Excel öffnen zu müssen. Wichtiger noch: Die Viewer-Software unterstützt keinerlei Makros. Dadurch verringert sich das Risiko, Makros unbeabsichtigt zu aktivieren.

 

Halten Sie Ihre Antivirensoftware und Signaturen auf dem neuesten Stand:

  • Aus Sicherheitsgründen ist es sicherlich von Vorteil, Virenschutz und andere signaturbasierte Schutzprogramme installiert und auf dem neuesten Stand zu halten.
  • Signaturbasierte Schutzmaßnahmen allein reichen zwar nicht aus, um ausgeklügelte Ransomware-Angriffe zu erkennen und zu verhindern, die darauf abzielen, herkömmliche Schutzmaßnahmen zu umgehen, sie sind jedoch ein wichtiger Bestandteil einer umfassenden Sicherheitsstrategie.
  • Ein aktueller Virenschutz kann Ihr Unternehmen vor bekannter Malware schützen, die bereits zuvor aufgetreten ist und über eine vorhandene und anerkannte Signatur verfügt.
  • Reagieren Sie sorgfältig und vernünftig auf Warnungen von verhaltensbasierten Erkennungssystemen und Anti-Ransomware-Schutzsystemen. Blockieren/Verweigern Sie vorzugsweise unbekannte Anwendungen, die von diesen Systemen erkannt werden.

Repräsentatives Bild einer Benutzerentscheidungsaufforderung von heuristischen Erkennungsmodulen

 

Sicheres Surfen:

  • Aktualisieren Sie Ihren Browser immer
  • Vermeiden Sie das Herunterladen von Raubkopien/geknackten Medien oder Software von Websites wie Torrents.
  • Blockieren Sie die Werbe-Popups im Browser.
  • Überprüfen Sie stets, ob Sie auf die echte Website zugreifen, indem Sie die Adressleiste Ihres Browsers überprüfen. Phishing-Websites können Inhalte anzeigen, die denen einer echten Website ähneln.
  • Setzen Sie Lesezeichen für wichtige Websites, um nicht Opfer von Phishing zu werden.
  • Geben Sie Ihre Daten wie Name, Telefonnummer, E-Mail-ID oder Anmeldedaten für soziale Netzwerke nicht an unbekannte Websites weiter.
  • Installieren Sie keine Erweiterungen in Browsern, die Sie nicht kennen. Achten Sie auf nachgemachte Webseiten und lassen Sie keine Eingabeaufforderungen auf einer unbekannten Webseite zu. Vermeiden Sie den Besuch von Crack-Software-Download-Websites.

 

Netzwerk- und freigegebene Ordner:

  • Verwenden Sie sichere und eindeutige Passwörter für Anmeldekonten und Netzwerkfreigaben.
  • Deaktivieren Sie unnötige Administratorfreigaben, z. B. admin$. Erteilen Sie Zugriffsberechtigungen für freigegebene Daten nach Bedarf
  • Überprüfen Sie den RDP-Zugriff und deaktivieren Sie ihn, falls er nicht benötigt wird. Legen Sie andernfalls entsprechende Regeln fest, um den Zugriff nur von bestimmten und vorgesehenen Hosts zuzulassen.
  • Angreifer nutzen in fast allen Fällen PowerShell-Skripte, um die Sicherheitslücke auszunutzen. Deaktivieren Sie daher die Powershell im Netzwerk. Wenn Sie PowerShell für den internen Gebrauch benötigen, versuchen Sie, die Verbindung von PowerShell.exe zum öffentlichen Zugriff zu blockieren.
  • Überprüfen Sie das Gateway-System und prüfen Sie, ob eine Fehlkonfiguration vorliegt (z. B. fehlerhafte Weiterleitung, falls vorhanden).
  • Verwenden Sie ein VPN, um auf das Netzwerk zuzugreifen, anstatt RDP dem Internet auszusetzen.
  • Erstellen Sie beim Verwalten des Zugriffs auf freigegebene Netzwerkordner für jeden Benutzer einen separaten Netzwerkordner und deaktivieren Sie ihn, wenn dies nicht erforderlich ist.
  • Bewahren Sie gemeinsam genutzte Software nicht in ausführbarer Form auf.

 

Sichern Sie Ihre Daten und Dateien:

  • Es ist wichtig, dass Sie Ihre wichtigen Dateien regelmäßig sichern, vorzugsweise auf einem luftgekapselten Speicher (der physisch von ungesicherten Netzwerken isoliert ist). Aktivieren Sie nach Möglichkeit automatische Backups für Ihre Mitarbeiter, damit Sie nicht darauf angewiesen sind, dass diese selbst an regelmäßige Backups denken.
  • Schützen Sie alle Backups mit einem einzigartigen, komplexen Passwort (siehe Benutzer und Berechtigungen).
  • Verwenden Sie immer eine Kombination aus Online- und Offline-Backup.
  • Wenn Ihr Computer mit Ransomware infiziert wird, können Ihre Dateien aus dem Offline-Backup wiederhergestellt werden, sobald die Malware entfernt wurde.
  • Bewahren Sie keine Offline-Backups auf, die mit Ihrem System verbunden sind, da diese Daten bei einem Ransomware-Angriff verschlüsselt werden könnten.

 

E-Mail-Sicherheit:

  • Verbessern Sie die E-Mail-Sicherheit, um schädliche Anhänge zu erkennen
  • Aktivieren Sie die Multi-Faktor-Authentifizierung, um sicherzustellen, dass alle Anmeldungen legitim sind
  • Legen Sie Richtlinien für das Ablaufen von Passwörtern und die Sperrung von Konten fest (für den Fall, dass das falsche Passwort eingegeben wird).
  • Öffnen Sie keine Anhänge und Links in E-Mails unbekannter, unerwarteter oder unerwünschter Herkunft. Löschen Sie verdächtig aussehende E-Mails unbekannter Herkunft, insbesondere wenn diese Links oder Anhänge enthalten. Cyberkriminelle nutzen Social-Engineering-Techniken, um Benutzer zum Öffnen von Anhängen oder zum Klicken auf Links zu verleiten, die zu infizierten Websites führen.
  • Aktivieren Sie immer den E-Mail-Schutz Ihrer Antivirensoftware

 

Beschränken Sie den Zugriff auf diejenigen, die ihn benötigen:

  • Um die potenziellen Auswirkungen einer erfolgreichen Ransomware-Angriff Stellen Sie sicher, dass Benutzer nur auf die Informationen und Ressourcen zugreifen können, die sie für ihre Arbeit benötigen, um Ihr Unternehmen zu schützen. Dadurch wird die Wahrscheinlichkeit eines Ransomware-Angriffs im gesamten Netzwerk deutlich reduziert. Die Abwehr eines Ransomware-Angriffs auf ein einzelnes Benutzersystem mag zwar mühsam sein, die Auswirkungen eines netzwerkweiten Angriffs sind jedoch deutlich größer.

 

Schulung der Mitarbeiter:

  • Schulen Sie Ihre Mitarbeiter darin, Potentielle BedrohungenDie häufigsten Infektionsmethoden bei Ransomware-Kampagnen sind nach wie vor Spam und Phishing-E-Mails. Oftmals kann die Sensibilisierung der Benutzer einen Angriff verhindern, bevor er stattfindet. Nehmen Sie sich die Zeit, Ihre Benutzer zu schulen, und stellen Sie sicher, dass sie Ungewöhnliches sofort Ihren Sicherheitsteams melden.

 

Fachexperten: Jayesh Kulkarni, Umar Khan | Quick Heal Security Labs

Jayesh Kulkarni

Über Jayesh Kulkarni

Jayesh arbeitet seit einigen Jahren als Sicherheitsforscher. Er reversiert Binärdateien und entschlüsselt die Verschlüsselung von...

Artikel von Jayesh Kulkarni »

Verwandte Artikel