Net Admin

Какво е Maze рансъмуер и как да се защитим от него?

Какво е рансъмуер Maze и как да се предпазим от него

Рансъмуер Maze за първи път се появи през май 2019 г. Maze е името на хакерската група, която го е създала, но системата Maze не е стартирана от тях. Вместо това групата Maze предоставя софтуера на други хакерски групи, които имат цели в ума си. След това нападателят и доставчикът на рансъмуера си поделят печалбите, получени от откупа

Системата Maze не се разпръсква в пощенски списъци. Използва се като част от целенасочена кампания това включва доксинг, което е профилиране на лица. Количеството изследвания, които се правят във всяка атака, са скъпи и отнемат много време. Това усилие се отплаща, защото рансъмуерът Maze може да пресича мрежи. Използва се главно за достъп до облачни услуги и след това преминаване към мрежата на всеки от клиентите на тази услуга.

Съдържание [ Крия ]

Как рансъмуерът Maze попада в мрежа?

Хакерите, използващи Maze изискват валиден потребителски акаунт, и така първата фаза на атака в лабиринт е фишинг . При тази техника хакерите проучват лица, работещи в организация, и след това започват разговор въз основа на някакъв интерес, който са открили, че този човек преследва.

Първоначалната оценка може да е служител на ниско ниво. В този случай хакерът получава въздействието, за да обясни кой отговаря за този отдел и вероятно кой работи в ИТ отдела. Хакерската група в крайна сметка изгражда организационна схема чрез тези социални контакти и работи кой има привилегирован достъп към системата. След това този човек става основната цел. Акаунтите на системно ниво са това, което хакерите искат.

Докато някои членове на екипа на хакерите се опитват да измамят служителите, други членове ще опитват традиционни начини за влизане в системата с често използвани пароли, пароли по подразбиране на производителя или кракер за пароли, за да вкарат ключови точки за достъп в мрежата. Групата също ще се опита да получи a троянски кон за отдалечен достъп на устройство със заразен .docx файл като прикачен файл към имейл. По един или друг начин групата може да придобие потребителски акаунт.

Как Maze заразява система?

След като Maze е върху устройство, то ще влезе изследователска фаза , използвайки добре познати инструменти за системно сондиране, като smbtools.exe, Adfind, BloodHound, PingCastle, плюс системен мониторинг откритие инструменти. Той ще сканира за мрежови уязвимости. Вирусът ще търси отворен SMB достъп, настройки за конфигурация на мрежово устройство и възможност за влизане Активна директория инстанции.

Инструментите на операционната система, които рансъмуерът Maze внедрява, включват Link-Local Multicast Name Resolution (LLMNR) предавания и NetBIOS Name Service (NBT-NS) за да се опитате да идентифицирате други компютри и устройства. Освен това ще улови NT LAN мениджър (NTLM) пакети, които съдържат идентификационни данни за вход. Той също ще се разгърне Мимикац на всяка заразена крайна точка, за да се опита да открие потребителски идентификационни данни. При получаване на име на потребителски акаунт пакетът Maze ще използва различни техники за получаване на паролата.

Рансъмуерът ще похарчи няколко дни изследване на системата, картографиране на мрежата и сглобяване на възможно най-голяма част от структурата на правата за достъп. Вирусът действа по много подобен начин на обикновения мониторинг на системата и инструменти за управление. Той се опитва да получи достъп до други крайни точки в мрежата. Ако системата е управляван доставчик на услуги, вирусът ще се опита да се свърже с клиентските системи и ще започне своята фаза на проучване.

Докато изследва всяка новоосъществена крайна точка, вирусът сканира за обикновени текстови файлове които може да съдържат информация за потребителския акаунт. Той също така ще се опита да разбие паролата с груба сила, за да се опита да влезе в потребителски и системни акаунти на устройството. Системата има време и ще продължи да изследва, претърсвайки различни устройства и други техники за сканиране, за да намери потребителски акаунти.

След като Maze намери потребителски идентификационни данни, той може да се движи из мрежата по-бързо, като използва SMB и RPC услуги за изпращане на файлове и софтуер към други устройства и евентуално централните сървъри на системата. Вирусът също ще създаде своите потребителски акаунти за да влезете в услугата за управление на правата за достъп (ARM) за целевата мрежа.

Основната трудност при борбата с Maze се крие в способността му да преминава към нови устройства. След като е на друго устройство, този допълнителен модул ще зарази всички други устройства в мрежата. Така че, ако програмата за рансъмуер бъде открита на едно устройство и премахната, това устройство може бързо да бъде повторно заразен от друго заразено устройство.

Как възниква атаката с ransomware на Maze?

Лабиринтът се разпространява много бързо в мрежата. Крайната му цел е да криптирайте всички файлове с данни да поиска откуп. Част от причината системата да забавя задействането на това криптиране е, че хакерите зад софтуера също искат откраднете тези данни . И така, когато влезе в нова крайна точка, той сканира за файлове, отваря връзка с интернет и след това прехвърля тези файлове навън. По-късно екипът заплашва да освободете съдържанието на тези файлове на обществеността или хакерската общност, за да мотивират жертвите да платят откупа.

След като всички данни бъдат откраднати, започва криптирането на Maze. Криптирането се извършва с два шифъра, които са ЧаЧа20 и RSA . ChaCha20 е вариант на шифъра Salsa20. RSA е система за асиметрично криптиране, която се използва широко като част от системата за сигурност SSL. Внедряването на RSA в Maze използва 2048-битов ключ. ChaCha20 използва 256-битов ключ.

Тъй като всеки файл е криптиран, Maze добавя допълнително разширение в края на името му. Това е произволна поредица от четири до седем знака. Когато всички файлове на устройството са криптирани, Maze променя тапета на работния плот на компютъра, за да покаже искането за откуп.

Потребителят се насочва към текстов файл, който ransomware е копирал на устройството. Това се казва DECRYPT-FILES.txt . Той обяснява как да използвате декриптор, който също се копира на устройството. Тази помощна програма има измервател на декриптиране и позволява три файла да бъдат декриптирани безплатно. Плащането на откупа купува кредити за дешифратора. Екранът не посочва цена.

Докато искането за откуп се показва на екрана на атакувания компютър, Maze възпроизвежда и аудио файл, който е повтарящо се гласово съобщение, което действа като аларма.

Файлът DECRYPT-FIES.txt обяснява, че жертвата има три дни за да се свържат с хакерите или те ще публикуват известие за атаката на своя сайт. Това би било вредно, защото може да накара бизнес партньори, които извършват анализ на риска от трета страна, да се оттеглят от сделка с компанията жертва. Ако жертвата не се свърже с групата вътре седем дни , групата Maze ще освободи всички откраднати данни.

Заплахата от освобождаване на данни е мощна, защото блокира стратегиите за възстановяване, които фирмите може да трябва да избегнат плащането, като изтриване и възстановяване от архивиране. Групата е много уверена в своята сила и дори предлага поддръжка за чат на живо ако системният администратор изпитва затруднения при използването на дескриптора.

Жертвата трябва да отвори уебсайта на Maze браузър Tor за да получите инструкции за плащане и след това да получите ключа за дешифриране. Групата също обещава да изтрие всички откраднати данни, които притежава, след като плащането бъде извършено.

Рансъмуерът Maze няма фиксиран откуп – не забравяйте, че групата работи в партньорство с други синдикати за киберпрестъпления и разделя плащането, като всеки партньор ще има различни очаквания за приходи. Известно е обаче, че Мейз откупите са много високи . Отчетените искания варират от 6 до 15 милиона долара.

Откъде е Мейз?

Хакерите зад Maze не са една от основните групи; всъщност те нямат отделно име – те са известни като Maze, същото като ransomware. Рутина в рамките на системата за криптиране проверява местния език на машината и няма да стартира атаката за криптиране, ако този език е един от тези на бившия Съветски съюз или сръбски.

Блокирането на намесата в компютри, използвани от руснаци или от населението на държави, съюзници на Русия, прави повече от вероятно хакерската група Maze да е със седалище в Русия . Кодът на програмния пакет Maze е добре подреден и адекватно коментиран. Това показва, че създателите на системата са професионални програмисти . Кодът е без грешки и работи добре.

Системата включва няколко техники за обфускация и е съставена от няколко модула, които се поддържат взаимно и обменят данни. Това показва, че рансъмуерът е разработен от опитни системни дизайнери и управлявани от ръководители на проекти. Разработката му включваше цялостно тестване. Така че Maze не е продукт на аматьори, а е продукт на добре управлявани групови усилия.

Как да се справите с ransomware на Maze

Една добра новина за Maze е, че на 1 ноември 2020 г. групата обяви, че е спиране на атаките . Няма причина обаче да им се вярва. Липсата на докладвани атаки също не е индикация, че не е имало атаки. Ако е имало прекратяване на огъня, тогава никой не може да бъде уверен, че то ще бъде постоянно.

Заплахата от разкриване на данни означава, че е предизвикателство да се пренебрегне искането за откуп от Maze. Ако вашият бизнес е обвързан със стандарт за поверителност на данните, като напр HIPAA , PCI DSS , или GDPR , глобите и обезщетенията, които ще трябва да платите за това разкриване, може в крайна сметка да струват повече от откупа. Групата Maze беше много умна.

Единственият сигурен начин да оцелееш при атака в лабиринт означава да предотвратиш появата й на първо място. За щастие, някои отлични системи за защита от злонамерен софтуер блокират рансъмуера на Maze. Групата Maze може да се върне с модифицирана версия, която избягва системите за откриване, настроени да забелязват оригиналния Maze. Има обаче налични опции за защита от зловреден софтуер устойчиви на бъдещето защото те търсят аномална активност, а не конкретни имена на файлове. Това е особено полезно за Maze, който действа по-скоро като вътрешна заплаха, отколкото като вирусна атака.

Помислете за следните системи за сигурност, за да се защитите срещу рансъмуер на Maze.

1. CrowdStrike Falcon Insight (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)

CrowdStrike Falcon Insight

CrowdStrike Falcon Insight е добър избор за борба с ransomware Maze. CrowdStrike има изследователска лаборатория и знае всичко за Maze и как работи, така че в този пакет са вградени рутинни блокировки срещу ransomware.

Системата Insight предлага координирано покритие на всички крайни точки . Това е много полезно за проблема на Maze, когато преинсталира своя софтуер на крайна точка, която е била почистена от друга заразена крайна точка.

Insight се намира в облака и получава отчети от модули, резидентни на крайната точка. Извиква се софтуерът за наблюдение, инсталиран на всяка крайна точка Falcon Prevent , който се предлага като самостоятелен продукт. Това е антивирусна система от следващо поколение, която търси необичайно поведение. Той качва отчети към координатора на Insight. Insight може да изпраща незабавни инструкции до всички крайни точки веднага щом бъде забелязана инфекция на Maze на едно място. По този начин премахването може да съвпадне на всички устройства в цялата мрежа.

Insight управлява реакция на заплаха както и откриване. Стъпките за коригиране могат да включват спиране на потребителски акаунт, изолиране на устройства от мрежата и заключване на файлове за Active Directory. Insight работи добре срещу вътрешни заплахи и проникване както и вируси.

Можете да получите 15-дневен безплатен пробен период на Falcon Prevent.

CrowdStrike Falcon Prevent Стартирайте 15-дневен БЕЗПЛАТЕН пробен период

две. ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus е система за защита на чувствителни данни . Както беше обяснено, заплахата Maze да публикува данните, които открадва, е сериозен проблем за бизнеса, който следва стандарт за поверителност на данните. DataSecurity Plus гарантира, че чувствителните данни са защитени.

Системата претърсва всички ваши мрежи за хранилища на данни и след това класифицира данните във всяка. Това ви позволява да знаете точно къде са всички ценни данни.

Системата ManageEngine включва също a монитор за целостта на файла всеки от които може да преглежда тези местоположения с чувствителни данни и да докладва за всички опити за достъп. Това заключва данните, които наистина не можете да си позволите да изтекат. Със защитена важна информация можете разумно игнорирайте заплахите на Maze дори и да влязат. Продължете и изтрийте всички крайни точки и ги възстановете от резервно копие.

ManageEngine DataSecurity Plus се предлага за a 30-дневен безплатен пробен период .

^