Maze-kiristysohjelma – merkitys ja määritelmä
Maze-kiristysohjelma on monimutkainen Windows-kiristysohjelma, jonka hyökkäykset kohdistuvat eri teollisuudenalan organisaatioihin kautta maailman. Samoin kuin muutkin kiristysohjelmat, Maze vaatii lunnaita kryptovaluuttana salattujen tietojen turvallisesta palauttamisesta.
Jos Mazen uhrit kieltäytyvät maksamasta, rikolliset uhkaavat vuotaa uhrien luottamukselliset tiedot julkisuuteen. Tällainen toiminta on lisääntynyt erityisesti kiristysohjelman uusimpien muunnosten, kuten REvil/Sodinokibi, JSWorm/Nemty/Nefilim ja Clop myötä.
Maze-kiristysohjelman määritelmä.
Maze, joka on ChaCha-kiristysohjelman muunnos, löydettiin alun perin toukokuussa 2019. Joulukuusta 2019 lähtien Maze on ollut erittäin aktiivinen kohdistaen iskuja eri teollisuudenaloihin.
Kuinka Maze-kiristysohjelma toimii?
Maze leviää tyypillisesti
- roskapostiviesteissä, joissa on haitallisia linkkejä tai liitteitä (yleensä Word- tai Excel-tiedostoja)
- etäkäyttöprotokollan (RDP) väsytysmenetelmähyökkäyksillä
- haittaohjelmien jakelualustalla.
Joskus hyökkäys voi tulla organisaation asiakkaalta tai kumppanilta, joka on jo joutunut hakkereiden uhriksi. Kun Maze saa verkon käyttöönsä, operaattorit pyrkivät saamaan edistyneet käyttöoikeudet, joilla he voivat levittää tiedostojen salauksen kaikkiin asemiin. Maze on erityisen vaarallinen, koska se myös varastaa löytämänsä tiedot ja välittää ne hakkereiden hallinnoimille palvelimille. Sitten hakkerit uhkaavat julkaista tiedot, ellei lunnaita makseta.
Organisaatiot voivat onnistua palauttamaan tietonsa suojatuista varmuuskopioista ja ottaa ne uudestaan käyttöön (jos varmuuskopiot ovat välttäneet tartunnan). Rikollisilla on silti hallussaan kopiot organisaation datasta. Maze on perimmiltään kiristysohjelmahyökkäyksen ja tietomurron yhdistelmä.
Maze-kiristysohjelman verkkosivut
Mazen luoneet hakkerit pitävät yllä verkkosivuja, joilla he listaavat uhriensa nimet (joita he kutsuvat "asiakkaiksi"). He julkaisevat säännöllisesti otteita varastetuista tiedoista rangaistuksena. Verkkosivut sisältävät tarkkoja tietoja siitä, kuinka uhrit joutuivat Maze-hyökkäyksen kohteeksi, sekä linkkejä varastettuihin tietoihin ja dokumentteihin "todisteena". Verkkosivujen slogan on provokatiivisesti ironinen "Pidetään maailma turvallisena". Sivuilla on jopa painikkeet, joilla tietomurtojen tietoja voidaan jakaa sosiaalisessa mediassa.
Maze-kiristysohjelmasivusto varoittaa uhreja, että jos lunnaita ei makseta kiristäjät:
- julkaisevat tietoja tietoturvamurroista ja ilmoittavat siitä tiedotusvälineille
- myyvät varastetut tiedot, joilla on kaupallista arvoa pimeässä verkossa
- ilmoittavat kaikille asiaan liittyville pörsseille hakkeroinnista ja arkaluontoisten tietojen menetyksestä, niin että yrityksen osakkeiden arvo romahtaa
- käyttävät tietoja hyökätäkseen asiakkaisiin ja kumppaneihin ja ilmoittavat heille yrityksen hakkeroinnista.
Mazen uskotaan toimivan yhteistyökumppanien verkon välityksellä. Kehittäjät jakavat tuotoksensa monien ryhmien kanssa, jotka käyttävät Mazea organisatorisissa verkoissa.
Vuonna 2020 Mazen taustalla olevat rikolliset liittoutuivat kahden muun kyberrikollisjoukon LockBitin ja RagnarLockerin kanssa muodostaen kiristysohjelmakartellin. Rikolliset yhdistivät ponnistuksensa ja ryhmien varastamat tiedot julkaistiin Mazen verkkosivuilla. Yhteistyön seurauksena Maze ajoi toimenpiteitä, joita RagnarLocker oli aiemmin käyttänyt.
Maze-kiristysohjelman loppu?
Vuoden 2020 lopussa Maze-kiristysohjelmaryhmä ilmoitti pitkäsanaisesti lopettavansa toimintansa. He ilmoittivat, että verkkosivua ei enää päivitetä ja että uhrit, jotka halusivat tietonsa poistettaviksi, voisivat ottaa yhteyttää "asiakastukichattiin".
Ryhmä ilmoitti, että he olivat aloittaneet hyökkäykset lisätäkseen tietoisuutta kyberturvallisuudesta. Samalla he sekavasti väittivät, että ryhmä ei koskaan todella ollut olemassa muualla, kuin aiheesta kirjoittavien journalistien mielikuvituksessa.
He myös väittivät omaavansa pääsyn New Yorkin osavaltion IT-järjestelmiin ja useisiin internet-palveluntarjoajiin, mutta päättivät olla hyökkäämättä.
Ryhmän väitteisiin toiminnan lakkauttamisesta pitää suhtautua varauksellisesti. Aiemmin kiristysohjelma GandCrabin operaattorit ilmoittivat lopettavansa toimintansa, vain aloittaakseen uudestaan ohjelmalla REvil/Sodinokibi. Mazen ja kahden vasta löydetyn kiristysohjelman − jotka tunnetaan nimillä Egregor ja Sekhmet − välillä on havaittu samankaltaisuuksia. Se viittaa vahvasti siihen, että ryhmä on yksinkertaisesti aloittamassa uutta kyberhyökkäysten aaltoa.
Esimerkkejä Maze-kiristysohjelmahyökkäyksistä
Esittelemme seuraavaksi joitakin tunnettuja esimerkkejä Maze-kiristysohjelman uhreista.
Cognizantiin kohdistunut kiristysohjelmahyökkäys
Yksi tunnetuimmista Maze-kiristysohjelmahyökkäyksistä kohdistui Fortune 500 -listallekin kuuluvaan Cognizant-yritykseen, joka on yksi maailman suurimmista IT-palvelujen tarjoajista.
Maze-kiristysohjelmaryhmä hyökkäsi Cognizant-yritykseen keskeyttäen sen asiakkailleen tarjoamat palvelut. Hyökkäys salasi ja kytki pois toiminnasta osan yrityksen sisäisistä järjestelmistä ja pakotti sen sulkemaan muut.
Hyökkäys tapahtui Covid-19-pandemian aikana, kun henkilökunta yritti tehdä töitä kotoa käsin. Kun virtuaalista työpöytäinfrastruktuuria tukevat tietokonejärjestelmät keskeytettiin, työntekijöiden oli vaikea tehdä töitä. Sisäiset hakemistot tuhottiin, jolloin työntekijöiden oli vaikeampi pitää yhteyttä toisiinsa ja myyntitiimit eivät voineet kommunikoida olemassa olevien ja uusien asiakkaiden kanssa. Jossain tapauksissa myös sähköpostiyhteys menetettiin.
Osa Cognizantin asiakkaista päätti suojautua haittaohjelmalta sulkien Cognizantin pääsyn verkkoihinsa ja jäädyttäen projektit. Cognizant kutsui johtavat kyberturvallisuusasiantuntijat sisäisten IT-turvallisuustiimiensä avuksi. Cognizantiin kohdistuneesta hyökkäyksestä raportoitiin myös poliisille ja yrityksen asiakkaille tiedotettiin tilanteesta jatkuvasti.
Tietomurtoa koskevissa tiedotteissaan Cognizant varoitti, että arkaluontoisia henkilötietoja, kuten sosiaaliturvanumeroita, verotunnisteita, taloudellisia tietoja, ajokortteja ja passeja oli mahdollisesti varastettu. Yritys varoitti, että yritysluottokortit olivat todennäköisesti altistuneet hyökkäyksessä. Cognizant tarjosi hyökkäyksestä kärsineille vuoden ajan maksuttoman henkilöllisyysvarkauden ja pimeän verkon valvonnan.
Hyökkäyksen välitön selvittely maksoi Cognizantille noin 50−70 miljoonaa dollaria ja lisäkuluja koitui myöhemmin tietokonejärjestelmien täydellisestä palauttamisesta toimintaan.
Cognizantin asiakkaisiin lukeutuu rahoituspalveluyhtiöitä kuten ING ja Standard Life, autoteollisuusyritys Mitsubishi Motors ja henkilöstöpalveluyritys PeopleSoft. Yritys ei tiedottanut, mitkä asiakkaat kärsivät hyökkäyksestä.
Canoniin kohdistunut Maze-kiristysohjelmahyökkäys
Elokuussa 2020 tiedotettiin, että Canon oli joutunut Maze-kiristysohjelmahyökkäyksen uhriksi. Jengi varasti jopa 10 teratavua Canonin dataa ja hyökkäys vahingoitti noin 25:tä Canonin eri toimialuenimeä ja sen useita sisäisiä sovelluksia kuten sähköpostia ja yhteistyöpalveluja.
Hyökkäys vaikutti myös 10 Gt:n maksuttoman tallennustilan käyttäjiin. Canon myönsi, että ennen 16. kesäkuuta 2020 tallennetut tiedot ja kuvat olivat kadonneet, mutta yrityksen mukaan kuvia ei ollut vuotanut julkisuuteen. Vaikka tiedot eivät olleet käytettävissä, niiden esikatselukuvia oli mahdollista katsella verkossa. Esikatselukuvan napsautus johti verkkosivun virheeseen.
Xeroxiin kohdistunut Maze-kiristysohjelmahyökkäys
Vuoden 2020 heinäkuussa Maze-kiristysohjelman operaattorit väittivät murtautuneensa Xeroxin järjestelmiin ja uhkasivat vuotaa valtavan määrän dataa, jos lunnaita ei maksettaisi. Ryhmä julkaisi verkkosivuillaan 10 kuvankaappausta todisteena murrosta. Kuvankaappauksista kävi ilmi, että jengi oli varastanut asiakastukitoimintoihin liittyvää dataa.
Pensacolan kaupunkiin kohdistunut Maze-kiristysohjelmahyökkäys
Floridalaisen Pensacolan kaupunkiin hyökättiin vuoden 2019 lopussa. Maze-kiristysryhmä uhkasi vuotaa tiedot, ellei heille maksettaisi miljoonan dollarin lunnaita. Oletettavasti ryhmä oli varastanut yli 32 Gt dataa kaupungin tartunnan saaneista järjestelmistä. Todisteena hyökkäyksestä he vuosivat julkisuuteen 2 Gt tietoa.
Hyökkäyksen seurauksena Pensacola Energy -yhtiön ja Pensacolan kaupungin jätevesijärjestelmän verkkomaksupalvelut keskeytettiin. Asukkaiden onneksi muut palvelut, kuten poliisi ja palokunta toimivat edelleen normaalisti.
Pitäisikö Maze-kiristysohjelmahyökkääjille maksaa?
Suositus on, että heille ei makseta. Mitä useammat henkilöt maksavat lunnaat, sitä todennäköisemmin rikolliset tekevät samankaltaisia hyökkäyksiä tulevaisuudessa.
Siitä huolimatta yritykset voivat kokea, että he selviävät vain maksamalla hyökkääjille. Helppoja vastauksia ei ole. Lopulta kukin organisaatio tekee päätökset omien olosuhteidensa pohjalta. Mikä tahansa päätös onkin, on suositeltavaa ottaa yhteys poliisiin ja työskennellä tiiviisti heidän kanssaan. Näin poliisi voi selvittää, kuka hyökkäysten takana on.
Huolimatta siitä, maksaako organisaatio vai ei, on ehdottoman tärkeää ymmärtää, mitkä turvallisuusongelmat johtivat hyökkäykseen. Organisaation pitäisi selvittää, mikä meni vikaan ja kuinka ongelma korjataan kyberrikollisuushyökkäysten estämiseksi tulevaisuudessa.
Maze-haittaohjelman lähestymistapaa koskien FBI neuvoo yrityksiä luomaan ennakoivasti valetietojen välimuisteja. Valheelliset tiedostokokoelmat on tarkoitettu vaikeuttamaan hakkereiden toimintaa, kun he pyrkivät varastamaan aidosti tärkeitä tiedostoja.
Kuinka voit suojautua Maze-kiristysohjelmaa vastaan
Kiristysohjelmat kehittyvät jatkuvasti. Paras puolustus niitä vastaan on ennakoiva esto. Kun haittaohjelma tai hakkeri on onnistunut salaamaan tiedot, on liian myöhäistä yrittää palauttaa ne.
Vinkkejä, jotka auttavat organisaatioita estämään kiristysohjelmahyökkäykset:
1. Pidä ohjelmistot ja käyttöjärjestelmät päivitettyinä
Ohjelmistojen ja käyttöjärjestelmän pitäminen päivitettyinä auttaa sinua suojautumaan haittaohjelmilta. Suorita päivitykset ja korjaukset ohjelmistoille, kuten Microsoft Office, Java, Adobe Reader, Adobe Flash ja internetselaimille, kuten Internet Explorer, Chrome, Firefox ja Opera selainlaajennukset mukaan lukien. Kun suoritat päivityksen, varmistat, että saat käyttöösi uusimmat suojauskorjaukset, jotta kyberrikollisten on vaikeampi hyödyntää ohjelmistojen haavoittuvuuksia.
2. Käytä suojausohjelmistoa
Kun kyberrikollisuus leviää, suojaus kiristysohjelmia vastaan on tärkeämpää kuin koskaan. Suojaa tietokoneesi kiristysohjelmilta kattavalla internetsuojausratkaisulla, kuten Kaspersky Internet Securityllä. Kun lataat tietoja tai käytät suoratoistoa, ohjelmistomme torjuu saastuneet tiedostot, estää kiristysohjelmia tartuttamasta tietokonettasi ja pitää kyberrikolliset kurissa.
3. Käytä VPN-yhteyttä muodostaessasi verkkoyhteyden
Käytä VPN-yhteyttä, kun otat yhteyden verkkoon sen sijaan, että altistaisit etätyöpöytäprotokollan (RDP) internetille. Kaspersky Secure Connection tarjoaa yksityisyyden verkossa ja globaalin sisällön käyttömahdollisuuden.
4. Tallenna tiedoista varmuuskopio
Tallenna tiedoista säännöllisesti varmuuskopio turvalliseen, toimipisteen ulkopuoliseen paikkaan. Näin voit palauttaa varastetut tiedot, vaikka hyökkäys tapahtuisi. Automaattisten varmuuskopioiden käyttö on helppo tapa, eikä käyttäjän tarvitse muistaa toistuvia tallennustöitä. Varmuuskopiot tulisi testata säännöllisesti sen takaamiseksi, että data on tallentunut.
5. Kouluta henkilökuntaa ja tiedota heille kyberturvallisuusriskeistä
Organisaatioiden pitäisi taata, että henkilökunta tuntee menetelmät, joilla kyberrikollisilla on tapana tunkeutua yrityksen järjestelmiin. Kouluta kaikki työntekijät, jotta he noudattavat alla lueteltuja kyberturvallisuuden parhaita käytäntöjä:
- Vältä napsauttamasta roskapostiviesteissä tai tuntemattomissa sivustoissa olevia linkkejä. Lataukset, jotka käynnistyvät, kun napsautat haitallisia linkkejä, ovat yksi tapa tartuttaa tietokone.
- Vältä lataamasta ohjelmistoja tai mediatiedostoja tuntemattomilta verkkosivuilta.
- Älä avaa sellaisten sähköpostiviestien liitteitä, joiden lähettäjiin et luota. Katso, kuka sähköpostiviestin on lähettänyt, ja vahvista, että sähköpostiosoite on oikein. Muista tarkistaa, näyttääkö liite aidolta, ennen kuin avaat sen. Jos et ole varma, ota yhteyttä henkilöön, jonka luulet lähettäneen sen, ja tarkista asia.
- Jos saat puhelun, tekstiviestin tai sähköpostiviestin tuntemattomasta lähteestä ja sinulta pyydetään henkilötietoja, älä anna tietoja.
- Käytä vain turvallista teknologiaa luodaksesi etäyhteyden yrityksen paikallisverkkoon.
- Käytä päätepisteturvallisuutta, jossa on toiminnan tunnistus ja automaattinen tiedostojen palautus, kuten Kaspersky Endpoint Security for Business -ohjelmaa.
- Käytä vaikeasti arvattavia, ainutlaatuisia salasanoja arkaluontoisten tietojen ja tilien suojaamiseksi ja ota käyttöön monivaiheinen tunnistus.
- Salaa arkaluontoiset tiedot aina, kun se on mahdollista.
Huolimatta siitä lopettaako Maze-kiristysohjelmaryhmä toimintansa vai sulautuuko se yksinkertaisesti toiseksi rikollisryhmäksi, kiristysohjelmien uhka elää. Kuten aina, tarkkaavaisuus on tarpeen jatkuvasti kehittyvien kyberuhkien edellä pysymiseksi.
Aiheeseen liittyvät artikkelit: