Beitrag von Florin Gruber, März 2021

Die Ransomware Maze – Ein Überblick

Wussten Sie, dass es Erpressungstrojaner mit Verhaltenskodex gibt? Ein Beispiel: Die Ransomware DarkSide greift keine Krankenhäuser, Schulen oder Behörden an.

Alle anderen Opfer aber stehen vor Lösegeldforderungen zwischen 200'000 und 2'000'000 Schweizer Franken. Zahlbar in Kryptowährung (Meist Bitcoin oder Monero). Bei Nichtzahlung droht die Zerstörung oder Veröffentlichung der Daten. Noch nie wurden so viele Erkennungen gemeldet wie im Jahr 2020, wobei die Anzahl von Quartal zu Quartal stetig zunahm.

Zahlen zum Jahr 2020

  • 31% der Unternehmen weltweit werden mindestens einmal am Tag von Cyberkriminellen angegriffen
  • Die Ransomware Maze (mehr dazu später) machte dabei fast 50% aller bekannten Ransomware-Fälle aus
  • Malware wird immer häufiger automatisch generiert und verändert, so dass bis zu 100'000 neue Varianten pro Tag in Erscheinung treten (deshalb ist die heuristische, verhaltensbasierte Erkennung so wichtig)

Die Ransomware "Maze"

Maze ist seit Ende 2019 aktiv und gehört zu den gefährlichsten 10 aktiven Ransomwares. Wir stellen hier die grundlegende Funktionsweise vor:
  • Maze verschlüsselt nicht nur die Daten, sondern stiehlt sie zusätzlich, damit mit der Veröffentlichung gedroht werden kann
  • Nutzt ausgeklügelte Techniken zur Verhinderung von Disassemblierung und Debugging
  • Löscht Windows-Schattenkopien (wie die meisten anderen auch)
  • Sendet eine HTTP-Anfrage an ihren C&C-Server (Command and Control Server mit der IP: 91.218.114.0)
  • Nutzt für die eigene Verbreitung bekannte Tools wie Mimikatz, ProcDump und Cobalt Strike
  • Der Angriff erfolgt meist gezielt und beginnt häufig mit Spearphishing via E-Mail
Die Ausführung dieser Ransomware wird von unserer Lösung Cyber Protect vollautomatisch verhindert.  

Die Lösung: Cyber Protect erkennt Malware und Ransomware dank künstlicher Intelligenz und Cloud-Abgleich der Verhaltensmuster

Jede Schadsoftware besitzt ihr individuelles Verhaltensmuster. Deswegen setzen wir mit der Lösung Cyber Protect auf Acronis und die renommierte BitDefender-Engine (Behavioral Detection Engine), um diese Muster sofort zu erkennen. Gleichzeitig werden die Muster mit denjenigen in der Cloud abgeglichen. Dadurch wird sichergestellt, dass auch unbekannte Schadsoftware sofort erkannt wird. Auch die 10 gefährlichsten Malware- und Ransomware-Varianten (Aktuell sind dies Maze, REvil, SNAKE, Nemty, NetWalker, Ragnar Locker, MegaCortex, CLOP, DoppelPaymer, Thanos) werden von Cyber Protect vollautomatisch erkannt und gestoppt. Allenfalls bereits kompromittierte Dateien werden automatisch aus dem Backup wiederhergestellt. Eingebaute Selbstschutzfunktionen verhindern, dass der Cyber Protection Agent beendet werden kann oder dass in den Backuprythmus eingegriffen werden kann. Eine Auswahl an Verhaltensweisen, die von Cyber Protect erkannt und gestoppt werden:
  • Ein Prozess greift auf bestimmte (System-)Dateien zu
  • Ein Prozess hat ein verdächtiges Code-Pattern
  • Ein Prozess greift auf eine grosse Anzahl Dateien zu und bearbeitet diese nach einem verdächtigen Muster (z.B. Verschlüsselung)
  • Ein Prozess versucht, Schutzfunktionen gezielt auszuschalten oder bekannte, aber nicht gepatchte Schwachstellen im Betriebssystem oder in Drittsoftware auszunutzen
In jedem der oben genannten Fällen werden Sie sofort über den Fund informiert, inklusive Reporting, was zur Erkennung geführt hat und was der Prozess gemacht hat. Zusätzlich kann eine Black- und eine Whitelist eingerichtet werden, wo Prozesse oder Ordner von der Überprüfung ausgeschlossen werden können. Wenn Sie mehr zu Cyber Protect erfahren oder die Lösung testen möchten, freuen wir uns auf Ihre Kontaktaufnahme.