Maze-ransomware: de nieuwe “trend” in ransomware-land

Maze-ransomware is aan een steile opmars bezig. Op zich is het fenomeen niet nieuw, maar Maze-ransomware komt wel vaker in het nieuws omdat het steeds meer slachtoffers maakt. In dit artikel zoomen we in op deze ransomware-variant en wat hem zo “speciaal” maakt.

Niet zomaar een andere versie van ransomware

Maze verschilt fundamenteel van andere ransomware. Terwijl de “gewone ransomware” data encrypteert en daar losgeld voor vraagt, gebruikt Maze een heel andere tactiek. Ze stelen eerst de gegevens in plaats van ze enkel te versleutelen. Vervolgens dreigt Maze met:

• het openbaar maken van de gegevens van slachtoffers
• het aanbieden van diezelfde gegevens op forums voor cybercriminaliteit als er geen betaling gebeurt.

Het is dus niet zo dat een goede back-up u kan redden zonder betaling, wat in sommige gevallen bij “standaard ransomware” wel het geval is.

Maze is een van de eerste die datadiefstal gebruikt als een manier om slachtoffers onder druk te zetten om te betalen. De Maze-bende heeft publieke bekendheid centraal gesteld in hun merkidentiteit en zoekt actief de aandacht van pers en onderzoekers om hun merk te promoten. Op die manier bouwen ze een reputatie op zodat slachtoffers niet zouden aarzelen om het losgeld te betalen.

Maze-ransomware: een uitzonderlijke manier van werken

Die publieke bekendheid op zich is al opmerkelijk, maar het gaat nog verder. De belangrijkste platformen dat Maze gebruikt om hun merk te promoten, zijn 2 websites:

1. een specifiek voor slachtoffers
2. een nieuwssite om te communiceren met de wereld in het algemeen

Op de website voor slachtoffers staat de ironische slogan: “Maze team: Keeping the World safe.”

Slachtoffers die op de site aankomen via een URL in de losgeldbrief, moeten eerst het bestand DECRYPT-FILES.txt opladen dat door de ransomware is achtergelaten. Dit bestand bevat het identificatienummer dat aan het slachtoffer is toegewezen.

Zodra ze zichzelf hebben geïdentificeerd, kunnen slachtoffers drie bestanden uploaden voor decryptie, als bewijs dat de Maze hun gegevens echt kan herstellen. Dit kan enkel met afbeeldingsbestanden, zodat de echte kritieke gegevens niet gratis worden hersteld.

Verder biedt de site ook een chatfunctie, zodat het slachtoffer (of de klant, zoals zij het zelf noemen) kan communiceren met de vertegenwoordigers van het Maze-team. Zij beantwoorden eventuele vragen en onderhandelen over de betaling.

De Maze nieuwssite bevat voorbeelden van gestolen gegevens van bedrijven die recentelijk door de ransomware zijn getroffen.

Maze verzekert klanten dat ze hun kant van elke overeenkomst nakomen en gestolen gegevens verwijderen, aangezien hun reputatie belangrijk is om zaken te doen.

Recent kwam aan het licht dat onder meer Canon, LG en Xerox gehackt werden door Maze. Ook Garmin zou ettelijke miljoenen losgeld betaald hebben, al is dat laatste niet officieel bevestigd.

Het ontstaan van Maze-ransomware

De eerste voorbeelden van Maze circuleerden op nepwebsites die gebruik maakten van exploitkits. Zo’n exploitkit is een stukje code dat een computer onderzoekt op gaten in de beveiliging. Die gaten worden vervolgens uitgebuit om malware uit te voeren op het toestel. Later werd Maze-ransomware ook op verschillende andere manieren verspreid zoals spam-e-mails, Remote Desktop Protocol-aanvallen en andere netwerk kwetsbaarheden.

Beschermen tegen Maze-ransomware?

We moeten op een heel andere manier nadenken over cybersecurity. Leveranciers als Sophos met Intercept X en Synchronized Security bieden een veel betere bescherming dan een standaard antivirus oplossing. Ook SentinelOne is een solide oplossing die d.m.v. AI beveiligt tegen ransomware.

En onderschat zeker de menselijke factor niet in cyberbeveiliging: het vermogen van medewerkers om de betrouwbaarheid van e-mails en websites in te schatten. In 90% van de gevallen komt malware immers binnen via een e-mail. Met een phishing test kan u de kennis van uw medewerkers gemakkelijk testen en opkrikken.