Montag — September 21, 2020 —

Sophos veröffentlichet seinen neuen Report „Maze Attackers Adopt Ragnar Locker Virtual Machine Technique“. In diesem Bericht beschreiben die Security-Experten, wie Cyberkriminelle bei einem Angriff auf drei unterschiedliche Arten versuchten, die Ransomware Maze bei ihrem Opfer zu aktivieren. Als Lösegeld verlangten die Gangster 15 Millionen Dollar. Maze ist eine der berüchtigtsten Ransomware-Familien und seit 2019 aktiv. Sie entwickelte sich aus der ChaCha-Ransomware und ist eine der ersten, die Datenverschlüsselung mit Informationsdiebstahl kombinierte.

Drei Angriffsvarianten auf ein und dasselbe Opfer

Die Cybergangster hinter Maze sind hartnäckig und versuchen die Ransomware auf unterschiedliche Arten im Unternehmen zu verbreiten. Forensische Untersuchungen ergaben, dass die Angreifer mindestens sechs Tage vor ihrem ersten Versuch, die Ransomware zu aktivieren, in das Netzwerk eingedrungen waren. Während dieser Zeit erkundeten sie die Netzinfrastruktur, starteten reguläre Tools von Drittanbietern, stellten Verbindungen her und leiteten Daten zu einem Cloud-Speicherdienst. Diese Schritte dienten der Vorbereitung für die eigentliche Ransomware.

Nach Aktivierung der Ransomware verlangten die Cyberkriminellen ein Lösegeld in Höhe von 15 Millionen Dollar. Das Opfer zahlte die Summe jedoch nicht und als die Angreifer merkten, dass der erste Angriff fehlgeschlagen war, starteten sie einen zweiten, modifizierten Versuch. Dieser wurde von Security-Lösungen und dem Sophos Managed Threat Response (MTR)-Team, das für die Reaktion auf den Vorfall zuständig war, entdeckt und abgewehrt. Doch die Maze-Angreifer gaben noch nicht auf. Beim dritten Versuch verwendeten sie eine neu konfigurierte Version der Ragnar Locker VM-Technologie unter Einsatz von Windows 7 anstelle der Windows XP-VM. Zudem konzentrierten sie den Angriff nur auf einen Dateiserver. Auch dieser Versuch wurde erkannt und blockiert.

„Die Angriffskette, die vom Sophos MTR-Team nachverfolgt wurde, zeigt die Agilität und Hartnäckigkeit der Angreifer. Sie veranschaulicht auch ihre Fähigkeit, Tools schnell zu ersetzen und neu zu konfigurieren, um für eine weitere Runde in den Ring zurückzukehren“, sagt Peter Mackenzie, Incident Response Manager bei Sophos. „Der Einsatz der VM-Technologie von Ragnar Locker mit starkem Footprint und hohem Bedarf an CPU-Leistung könnte ein Zeichen für die wachsende Frustration der Angreifer sein, nachdem die ersten beiden Ransomware-Angriffe fehlgeschlagen sind.“

Tipps zur Abwehr von Cyberattacken

Zur Abwehr von Cyberattacken, insbesondere von Ransomware, empfehlen die Sophos- Security-Spezialisten eine Verkleinerung der Angriffsfläche. Dies kann durch mehrschichtige und Cloud-basierte Security-Lösungen mit wirksamem Ransomware-Schutz erreicht werden. Zudem sollten Mitarbeiter geschult sein und wissen, worauf sie achten müssen. Auch kann das Einrichten oder beauftragen eines Threat-Hunting-Services entscheidend dazu beitragen, aktive Attacken zu identifizieren.

Der Komplette Report steht zum Download bereit unter: https://news.sophos.com/en-us/2020/09/17/maze-attackers-adopt-ragnar-locker-virtual-machine-technique/

Maze-Ransomware-Triple und doch kein Tor: Angreifer trotz modifizierter Attacken erfolglos

Über Sophos

Sophos ist ein weltweit führender Next-Gen-Cybersecurity-Anbieter und schützt über 500.000 Organisationen und Millionen von Kunden in mehr als 150 Ländern vor komplexen Cyberbedrohungen. Mit Threat Intelligence, KI und Machine Learning aus den SophosLabs und SophosAI bietet Sophos ein breites Portfolio modernster Produkte und Services. Diese schützen Benutzer, Netzwerke und Endpoints zuverlässig vor Malware, Exploits, Phishing und anderen Cyberangriffen. Mit Sophos Central hat Sophos eine zentrale, cloudbasierte Management-Konsole im Angebot. Sie bildet das Herzstück unseres adaptiven Cybersecurity-Ökosystems. Teil dieses Systems ist ein zentralisierter Data Lake. Er nutzt eine Vielzahl offener APIs, die Kunden, Partnern, Entwicklern und anderen Cybersecurity-Anbietern zur Verfügung stehen. Sophos vertreibt seine Produkte und Services über ein weltweites Netzwerk von Vertriebspartnern und Managed Service Providern (MSPs). Sophos hat seinen Hauptsitz im britischen Oxford. Weitere Informationen finden Sie unter www.sophos.de.