Gezielte Ransomware-Angriffe verursachen in allen Weltregionen und Branchen Betriebsstörungen und finanzielle Schäden. Dies hat das Team von FireEye Mandiant Threat Intelligence sowohl bei der Untersuchung der aktuellen Trends bei Sicherheitsvorfällen mit Ransomware als auch bei der Analyse der Aktivitäten der Hackergruppe FIN6, der Folgen eines Ransomware-Angriffs auf Industrieanlagen und des Übergangs zu mehrstufigen Angriffen mit Ransomware dokumentiert. So beobachten wir seit November 2019, dass Hackergruppen mit einem ausgedehnten „Partnernetzwerk“ die Ransomware MAZE für gezielte Angriffe zur Erpressung von Lösegeldern für sensible Daten einsetzen.

Zwar erfolgten die ersten von uns dokumentierten Angriffe mit MAZE bereits im Mai 2019, doch kamen hier vor allem Spam-E-Mails und Exploit-Kits als Verbreitungsmechanismen zum Einsatz. Die Einschleusung von MAZE im Rahmen von mehrstufigen Operationen – als Folgeschritt nach der ersten erfolgreichen Infiltration des Zielsystems – begann also erst ein halbes Jahr später. In diesem Zusammenhang haben wir bei der Beobachtung mutmaßlicher Nutzer der Ransomware in Untergrundforen und der Analyse der einschlägigen Taktiken, Techniken und Prozesse im Rahmen unserer Incident-Response-Einsätze festgestellt, dass verschiedene Akteure an den Kampagnen mit MAZE beteiligt sind. Zudem hat sich gezeigt, dass Nutzer von MAZE eine öffentlich zugängliche Website betreiben, auf der sie gestohlene Daten posten, wenn die Opfer die Zahlung eines Lösegelds verweigern.

Das bedeutet: Erfolgreiche MAZE-Kampagnen können sowohl in der Offenlegung sensibler Daten als auch in der Unterbrechung des Netzwerkbetriebs resultieren und werden überdies durch kriminelle Serviceanbieter unterstützt. Damit stellen sie eine enorme Gefahr für viele Unternehmen dar. Um das von MAZE ausgehende Risiko im Detail zu beleuchten, präsentieren wir in diesem Blogbeitrag Erkenntnisse, die wie bei unseren zahlreichen Incident-Response-Einsätzen sowie bei der Untersuchung der Nutzer und der Funktionsweise von MAZE gewonnen haben.

Weitere Informationen zu dieser Ransomware bietet Ihnen die Aufzeichnung unseres Webinars vom 21. Mai.

Betroffene Unternehmen und Institutionen

Anhand von einschlägigen Medienberichten aus verschiedenen Quellen und im Zuge unserer Beobachtung der MAZE-Website seit November 2019 haben wir über 100 mutmaßliche Opfer von Angriffen mit dieser Ransomware identifiziert. Unsere Liste umfasst vor allem Unternehmen und Institutionen in Nordamerika, erstreckt sich jedoch auch auf fast alle anderen Regionen. Zusätzlich haben wir festgestellt, dass sich die breit gefächerten MAZE-Operationen gegen diverse wichtige Branchen richteten. Wie aus Abbildung 1 hervorgeht, waren insbesondere Fertigungs-, Bau- und Technologieunternehmen, Einzelhändler, öffentliche Institutionen sowie die Anbieter von Rechts-, Finanz- und Gesundheitsdienstleistungen betroffen.

Abbildung 1: Aufschlüsselung der betroffenen Unternehmen und Institutionen nach Regionen und Branchen

Kooperationen und Partnerschaften bei Ransomware-Kampagnen mit MAZE

Mandiant hat verschiedene russischsprachige Akteure identifiziert, die sich als Nutzer der MAZE-Ransomware ausgaben und nach spezialisierten Partnern zur gezielten Verstärkung ihrer Teams suchten. (Nähere Informationen zu diesen Akteuren sind für Abonnenten von Mandiant Intelligence verfügbar.) Außerdem haben wir festgestellt, dass ein zur Verwaltung der Zielunternehmen von MAZE-Angriffen genutztes Dialogfeld einen Bereich für Transaktionen mit Auftragnehmern umfasst. Dies deckt sich mit unserer Beobachtung, dass der Einsatz von MAZE in partnerschaftlichen Strukturen erfolgt und nicht auf eine spezifische Hackergruppe zurückzuführen ist. Es hat sich ein Geschäftsmodell etabliert, bei dem die Entwickler der Ransomware mit anderen Akteuren kooperieren, die dann gewissermaßen als Dienstleister die Verbreitung der Malware übernehmen und bei jeder Lösegeldzahlung eine Provision erhalten. Parallel bestehen Partnerschaften mit Hackergruppen und Penetrationstestern, die – ebenfalls auf Provisionsbasis – Zielunternehmen ausspähen und infiltrieren und dann die Federführung bei der Ausweitung der Zugriffsrechte und der Ausbreitung im Netzwerk übernehmen. In einigen Fällen erhielten die Auftragnehmer sogar ein festes Gehalt (statt einer Provision) für die Identifizierung potenzieller Zielunternehmen und die Bestimmung ihrer jährlichen Umsätze. Auf diese Weise hat sich ein hocheffizientes kriminelles Netzwerk entwickelt, von dem alle involvierten Spezialisten profitieren.

Abbildung 2: Dialogfeld der MAZE-Ransomware

Die anfängliche Verbreitung von MAZE mithilfe von Exploit-Kits und Spam-Kampagnen

In der bis Ende 2019 dauernden Anfangsphase erfolgte die Verbreitung von MAZE direkt über Exploit-Kits und Spam-Kampagnen. So beobachtete das Team von Mandiant im November 2019, dass zahlreiche Mitarbeiter von deutschen und US-amerikanischen Unternehmen sowie einige Angestellte von in Kanada, Italien und Südkorea ansässigen Firmen schädliche E-Mails erhielten, deren Zweck in der Einschleusung der MAZE-Ransomware bestand. Die betreffenden E-Mails enthielten vorgeblich wichtige Steuer-, Rechnungs- oder Lieferinformationen und beinhalteten angehängte Dokumente oder Inline-Links zu Dokumenten, die den Download- und Ausführungsvorgang starteten, sobald sie geöffnet wurden.

Die erste derartige Kampagne erstreckte sich über den 6. und 7. November und nahm vor allem deutsche Adressaten ins Visier. Wie in Abbildung 3 dargestellt, nutzten die Angreifer in diesem Fall die Betreffzeilen „Wichtige informationen uber Steuerruckerstattung“ und „1&1 Internet AG - Ihre Rechnung 19340003422 vom 07.11.19“, um ihre mit Makros gespickten E-Mail-Anhänge glaubwürdig erscheinen zu lassen. Bei den Empfängern handelte es sich meist um Mitarbeiter von Finanzdienstleistern, Gesundheitsanbietern und Fertigungsunternehmen. Interessanterweise erfolgte der Versand der E-Mails über verschiedene schädliche Domains, die alle vom Inhaber der E-Mail-Adresse [email protected] registriert worden waren.

Abbildung 3: Gefälschte E-Mail in deutscher Sprache

Kurz darauf begann am 8. November eine zweite MAZE-Kampagne, die vor allem auf Finanzdienstleister und Versicherungsunternehmen in den Vereinigten Staaten abzielte. Hier wurden die E-Mails von infiltrieren oder gefälschten Konten versandt und enthielten einen Inline-Link, über den ausführbarer MAZE-Schadcode heruntergeladen wurde.

Dagegen kamen bei einer dritten MAZE-Kampagne am 18. und 19. November einmal mehr Dokumente mit Makros zum Einsatz, die Empfängern in US-amerikanischen und kanadischen Unternehmen aus verschiedenen Branchen als vermeintliche Telefonrechnungen oder Lieferinformationen zugestellt wurden (siehe Abbildungen 4 und 5). Die betreffenden E-Mails trugen die Betreffzeilen „Missed package delivery“ und "Your AT&T wireless bill is ready to view" und stammten von verschiedenen schädlichen Domains mit der Registrantenadresse [email protected]. (Bemerkenswerterweise wurde diese Adresse Ende November 2019 auch zur Registrierung verschiedener italienischer Domains verwendet.)

Abbildung 4: Gefälschte AT&T-E-Mail

Abbildung 5: Gefälschte E-Mail der kanadischen Post

Der Übergang zu mehrstufigen Angriffen mit potenziell schwerwiegenderen Folgen

Unseren Beobachtungen zufolge gehen die Angreifer seit einiger Zeit zunehmend zu einer neuen Taktik über, bei der die Ransomware erst nach der erfolgreichen Infiltration eingeschleust wird. Diese Vorgehensweise bietet ihnen die Möglichkeit, mehr Hosts in der Infrastruktur des Zielunternehmens zu infizieren und überdies sensible Daten zu stehlen, die dann als zusätzliches Druckmittel für die Erpressung von Lösegeldern genutzt werden können. Im letzteren Fall verlangen die Kriminellen sowohl eine Zahlung für den Entschlüsselungsschlüssel als auch eine Extragebühr für die Zurückhaltung der erbeuteten Daten.

Auch wenn diese komplexen Angriffe meist mit relativ ähnlichen vorbereitenden Schritten zur Einschleusung der MAZE-Ransomware beginnen, weisen sie bei genauerer Betrachtung doch gewisse Variationen auf, die darauf schließen lassen, dass es sich bei den Urhebern um verschiedene Hackerteams handelt. Darüber hinaus scheint in jedem Team eine gewisse Arbeitsteilung zu herrschen, sodass die einzelnen Mitglieder jeweils für bestimmte Phasen der Operation zuständig sind. Um diesen Sachverhalt näher zu beleuchten, präsentieren wir in den folgenden Abschnitten Detailinformationen über die bei ausgewählten Vorfällen mit MAZE beobachteten TTP (Tools, Taktiken und Prozesse), deren Vielfalt stark auf die Urheberschaft verschiedener, voneinander unabhängiger Akteure hinweist. Letzteres wird auch dadurch untermauert, dass in manchen Fällen nur wenige Wochen, in anderen wiederum viele Monate zwischen dem ersten Eindringen und der Verschlüsselung der Unternehmensdaten liegen.

Erstes Eindringen

Ein Blick auf die Anfangsphase der MAZE-Angriffe zeigt, dass es bei der Infiltration der Zielunternehmen kaum wiederkehrende Muster gibt. Dies deckt sich mit unserer Feststellung, dass verschiedene MAZE-Nutzer die Unterstützung von Partnern in Anspruch nehmen, um sich Zugang zum anvisierten Netzwerk zu verschaffen. Als Beleg haben wir die folgenden Beobachtungen aus verschiedenen Incident-Response-Einsätzen des Mandiant-Teams für Sie zusammengestellt:

• In einem Fall öffnete ein Nutzer ein schädliches, als Lebenslauf getarntes Microsoft Word-Dokument, das von den Angreifern erstellte Makros enthielt. Dadurch wurde der Trojaner IcedID gestartet, der den Kriminellen dann seinerseits die Ausführung einer Beacon-Instanz ermöglichte.
• Eine andere Angreifergruppe meldete sich über RDP bei einem mit dem Internet verbundenen System an. Für diesen Vorgang wurde ein generisches Support-Konto benutzt. Allerdings ist unklar, wie die Kriminellen in den Besitz des entsprechenden Passworts kamen.
• Ein weiteres Team nutzte eine Schwachstelle eines falsch konfigurierten, mit dem Internet verbundenen Systems aus, um Hacker-Tools einzuschleusen, die ihm dann den Zugriff auf das interne Netzwerk ermöglichten.
• Bei einem vierten Angriff verschafften sich die Angreifer Zugang zu einem unternehmenseigenen, lediglich mit einem schwachen Passwort geschützten Citrix-Webportal. Unter Ausnutzung dieser legitimen Zugriffsrechte gelang es ihnen, den Metasploit-Client Meterpreter auf einem internen System auszuführen.

Festsetzen im Zielsystem & Langfristige Sicherung des Systemzugriffs

Der Missbrauch legitimer Anmeldedaten und der flächendeckende Einsatz von Beacon in den Zielumgebungen sind zwei Konstanten in der Vorgehensweise der Angreifer, wenn sie sich im Rahmen der Vorbereitung der Einschleusung der MAZE-Ransomware um die Festsetzung im infiltrierten Netzwerk und die langfristige Sicherung des Zugriffs bemühen. Allerdings haben wir auch festgestellt, dass eine Hackergruppe von diesem Schema abwich und ein eigenes Domänenkonto einrichtete, um die nächsten Schritte ihrer Operation vorzubereiten.

• Bei mehreren Vorfällen setzen sich die Angreifer in der Zielumgebung fest, indem sie die Backdoor Beacon auf möglichst vielen Servern und Workstations installierten.
• Außerdem wurden auf mit dem Internet verbundenen Systemen Webshells installiert, die den Angreifern Zugriff auf der Systemebene boten. Dadurch erhielten sie die Möglichkeit, ihre Zugriffsrechte auszuweiten und eine Backdoor auszuführen.
• Regelmäßig war zu beobachten, dass Infiltrationsspezialisten Zugang zu verschiedenen Domänenkonten und lokale Systemkonten mit unterschiedlichen Zugriffsrechten erlangten, die dann im weiteren Verlauf der Operation missbraucht wurden.
• Eine Hackergruppe erstellte ein neues Domänenkonto und fügte dieses der Domänenadministratorgruppe hinzu.

Erweiterung der Zugriffsrechte

Das Team von Mandiant hat mehrfach beobachtet, dass die für die Vorbereitung eines MAZE-Angriffs verantwortlichen Hacker das Tool Mimikatz nutzten, um ihre Zugriffsrechte auszuweiten. Diese Bemühungen wurden in verschiedenen Fällen um den Einsatz der Anwendung Bloodhound und die manuelle Suche nach Dateien mit Anmeldedaten ergänzt.

• In einem Fall luden die Angreifer weniger als zwei Wochen nach dem ersten Eindringen ein Archiv mit der Bezeichnung mimi.zip herunter und interagierten mit den darin enthaltenen Dateien für den Passwort-Dumper Mimikatz. In den darauffolgenden Tagen wurde dasselbe mimi.zip-Archiv auf zwei Domaincontrollern in der betroffenen Umgebung identifiziert.
• Begleitend suchten die Angreifer in der infiltrierten Umgebung nach Dateien, die das Wort „Password“ enthielten. In diesem Zusammenhang wurden verschiedene Archivdateien erstellt, deren Namen auf Aktivitäten zum Diebstahl von Anmeldedaten hindeuteten.
• Außerdem suchten die Angreifer nach Hosts, auf denen die Passwort-Verwaltungssoftware KeePass lief.
• Gleich bei mehreren Vorfällen kam das Tool Bloodhound zum Einsatz. Dies diente mutmaßlich der Identifizierung möglicher Vektoren zum Diebstahl von Anmeldedaten für Konten mit Domainadministratorrechten.
• Die meisten Angreifer nutzten Procdump und Mimikatz, um Anmeldedaten zu stehlen und so die folgenden Phasen des Angriffs vorzubereiten. Dabei machten sie sich vermutlich mithilfe von Bloodhound und PingCastle ein genaues Bild von der Active Directory-Konfiguration des infiltrierten Unternehmens. Abschließend versuchten sie, die gestohlenen Anmeldedaten auszuschleusen und in verschiedenen Cloud-Services zu speichern.

Ausspähung des Zielsystems

Bei der Untersuchung von Vorfällen mit MAZE hat das Mandiant-Team ein breites Spektrum an Methoden zur Ausspähung der Netzwerke, Hosts und Datenbestände im Zielsystem sowie des Verzeichnisdienstes Active Directory identifiziert. Wie die folgende Aufstellung zeigt, nutzten die verschiedenen Angreifer vielfältige Tools und Prozesse zur Interaktion mit der infiltrierten Umgebung.

• Bei einigen Hackereinbrüchen begannen die Aktivitäten zur Ausspähung des Zielsystems drei Tage nach dem ersten Eindringen in das Netzwerk des betroffenen Unternehmens. Hier nutzten die Angreifer Spähprogramme wie Cobalt Strike, um Informationen über Netzwerke, Hosts, Dateisysteme und Domains zu sammeln.
• Verschiedentlich erfolgte die Ausspähung der Netzwerke, Konten und Hosts in der infiltrierten Umgebung mithilfe von nativen Windows-Befehlen. Ergänzend setzten die Angreifer eingeschleuste Tools wie Advanced IP Scanner und Adfind ein.
• Andere Akteure verwendeten in dieser Phase eine Stapelverarbeitungsdatei mit dem Namen „2.bat“. Diese enthielt eine Reihe von nslookup-Befehlen, deren Output in der Datei „2.txt“ ausgegeben wurde.
• Eine Hackergruppe übermittelte die bei der Ausspähung der IT-Umgebung erzeugten Daten und Dokumente mithilfe eines verschlüsselten PowerShell-Skripts an einen eigenen FTP-Server.
• In einem weiteren Fall setzten die Angreifer über einen Zeitraum von mehreren Tagen Bloodhound, PowerSploit bzw. PowerView (Invoke-ShareFinder) und ein speziell für die Ausspähung entwickeltes Skript ein, das eine Liste aller Verzeichnisse auf sämtlichen internen Hosts erstellte.
• Einige Angreifer verwendeten das Tool AdFind und eine Stapelverarbeitungsdatei mit der Bezeichnung „2adfind.bat“, um Informationen über Netzwerke, Hosts, Domains und Nutzer zu sammeln. In diesem Fall wurde der Output des Batch-Skripts mithilfe der ausführbaren Datei 7.exe (einer Instanz des Hilfsprogramms 7zip) in einem Archiv mit der Bezeichnung „ad.7z“ gespeichert.
• Eine andere Gruppe nutzte das Tool smbtools.exe , um Konten zu identifizieren, die zur Anmeldung bei verschiedenen Systemen in der Umgebung berechtigt waren.
• Bei einem weiteren Angriff riefen die Angreifer Verzeichnislisten von sämtlichen Dateiservern in der infiltrierten Umgebung ab. Hier fanden sich etwa einen Monat später Hinweise auf eine erfolgte Datenausschleusung, was darauf hindeutet, dass die Sammlung der Verzeichnislisten der vorbereitenden Identifizierung sensibler Datenbestände diente.

Ausbreitung im Netzwerk

Bei den meisten Vorfällen mit MAZE-Ransomware nutzten die Angreifer sowohl Cobalt Strike Beacon als auch die zuvor erbeuteten Anmeldedaten, um ihren Aktionsradius in der Umgebung des infiltrierten Unternehmens zu erweitern. Dennoch waren auch in dieser Angriffsphase Abweichungen von der Norm zu beobachten, da in einigen Fällen alternative Tools und Methoden zum Einsatz kamen.

• Viele Angreifer setzten schwerpunktmäßig Cobalt Strike Beacon ein, nutzten jedoch außerdem das Tool ngrok, um RDP-Tunnel einzurichten, sowie den Windows-Befehl tscon, um die Kontrolle über legitime RDP-Sitzungen zu übernehmen. Dadurch erhielten sie Zugang zu weiteren Systemen und konnten zugleich ihre Zugriffsrechte erweitern.
• In einem Fall infiltrierten die Hacker in den frühen Angriffsphasen Dienste und Nutzerkonten, die sie später zur Ausbreitung im Netzwerk missbrauchten. So erhielten Sie Zugriff auf zahlreiche Systeme. Anschließend setzten sie gestohlene Anmeldedaten ein, um RDP-Verbindungen zu weiteren Netzwerkbereichen einzurichten und Beacon-Backdoors auf knapp einhundert Hosts zu installieren.
• In einem anderen Fall nutzten die Angreifer zunächst Metasploit zur Ausbreitung in der Zielumgebung und missbrauchten dann ein lokales Administratorkonto auf einem infiltrierten System, um das Angriffs-Tool Cobalt Strike zu installieren.
• In der ersten und zweiten Hälfte des Jahres 2019 versuchte mindestens eine Hackergruppe, den Exploit EternalBlue zur Ausbreitung in der infiltrierten Umgebung zu nutzen. Allerdings gibt es keine Hinweise darauf, dass diese Bemühungen erfolgreich waren.

Realisierung der kriminellen Ziele

Die von uns gesicherten forensischen Spuren deuten darauf hin, dass bei den meisten MAZE-Angriffen Daten gestohlen werden. Obwohl es prinzipiell verschiedene Möglichkeiten gibt, diese Beute zu Geld zu machen (bspw. durch den Verkauf in Untergrundforen oder die Nutzung für betrügerische Zwecke), tendieren die kriminellen MAZE-Nutzer bekanntermaßen dazu, von ihren Opfern ein Lösegeld für die Zurückhaltung der gestohlenen Daten zu fordern.

• Eine Hackergruppe nutzte für die Datenausschleusung ein mit Base64 verschlüsseltes PowerShell-Skript, das alle vorhandenen .7z-Dateien auf einen spezifischen, vermittels eines hartcodierten Benutzernamens und Passworts zugänglichen FTP-Server hochlud. Als Vorlage hatte hier anscheinend ein ähnliches Skript gedient, das bereits 2013 im Microsoft-Portal TechNet veröffentlicht worden war.
• Bei einem anderen Angriff wurde zur Ausschleusung ein alternativer, aber ebenfalls mit Base64 verschlüsselter PowerShell-Befehl verwendet.
• Ferner war zu beobachten, dass bei manchen MAZE-Operationen das Dienstprogramm WinSCP zur Übertragung der erbeuteten Daten auf einen von den Kriminellen kontrollierten FTP-Server genutzt wurde.
• In einem Fall setzten die Angreifer sogar ein Datenreplikationsprogramm ein, um die gestohlenen Daten an einen cloudbasierten Filehosting- bzw. Filesharing-Dienst zu übermitteln.
• Bei einem weiteren Vorfall verwendeten die Kriminellen vor der Einschleusung der MAZE-Ransomware das Dienstprogramm 7zip, um die in verschiedenen unternehmenseigenen Dateifreigaben gespeicherten Daten zu komprimieren. Die entsprechenden Archive wurden dann unter Ausnutzung des WinSCP-Tools auf einen von den Angreifern kontrollierten FTP-Server ausgeschleust.

Allerdings haben es die kriminellen MAZE-Nutzer nicht nur auf Diebstahl, sondern auch auf die Verschlüsselung von Daten in der Umgebung des betroffenen Unternehmens abgesehen. In diesem Zusammenhang ist zu erwähnen, dass über das bereits erwähnte MAZE-Dialogfeld ein Datum festgelegt werden kann, an dem sich die Lösegeldforderung verdoppelt. Damit bietet die Ransomware die Möglichkeit, den Druck auf die Opfer systematisch zu steigern.

• Bei einem Angriff installierten die Hacker fünf Tage nach der Ausschleusung der Daten eine Binärdatei der MAZE-Ransomware auf 15 Hosts in der Umgebung des betroffenen Unternehmens und führten das Schadprogramm auf einigen der infizierten Systeme erfolgreich aus.
• Andere Angreifer nutzten Batch-Skripte und eine Reihe von Textdateien mit Hostnamen, um zahlreiche Server und Workstations in der IT-Infrastruktur des betroffenen Unternehmens mit MAZE zu infizieren.
• In einem Fall missbrauchten die Kriminellen ein Administratorkonto, um sich bei einer zweistelligen Zahl von Hosts anzumelden und diese nacheinander mit der Ransomware zu infizieren.
• Die Aktivitäten zur Verbreitung der MAZE-Ransomware begannen meist direkt nach der Ausschleusung der erbeuteten sensiblen Daten. Mitunter gelang es den Hackern, tausende Hosts zu verschlüsseln. Der dafür ursächliche Prozess lief folgendermaßen ab:
  • Durch die Ausführung der Stapelverarbeitungsdatei start.bat wurden verschiedene sekundäre Stapelverarbeitungsdateien mit Namen wie xaa3x.bat oder xab3x.bat erzeugt.
  • Jedes dieser sekundären Skripte enthielt eine Reihe von Copy-, WMIC- und PsExec-Befehlen, die sowohl ein Kill-Skript (windows.bat) als auch eine Instanz der MAZE-Ransomware (sss.exe) auf Hosts in der betroffenen Umgebung installierten und ausführten.
  • Interessanterweise stellte sich bei der forensischen Untersuchung der betroffenen Umgebung heraus, dass die Zahl der mit MAZE-Skripten infizierten Hosts zehnmal höher war als die Zahl der Hosts, die letztlich verschlüsselt wurden.

Ausblick und Empfehlungen

Da MAZE unserer Ansicht nach von verschiedenen Akteuren verbreitet und eingesetzt wird, steht zu erwarten, dass die bei Sicherheitsvorfällen mit dieser Ransomware beobachteten TTP (Tools, Taktiken und Prozesse) auch weiterhin variieren werden. Dies gilt insbesondere im Hinblick auf die Angriffsvektoren, über die sich die Angreifer beim ersten Eindringen Zugang verschaffen. Umfassendere Empfehlungen für den Umgang mit Ransomware finden Sie in unserem Blogpost Ransomware Protection and Containment Strategies  und  dem dazugehörigen Whitepaper.

Präventive Maßnahmen mit Mandiant Security Validation

Unternehmen können ihre Sicherheitsinfrastruktur mithilfe von Mandiant Security Validation für über zwanzig MAZE-spezifische Aktivitäten sensibilisieren. Nähere Informationen finden Sie in unserem Headline Release Content Update vom 21. April 2020, das auf dem Mandiant Security Validation Customer Portal verfügbar ist.

• A100-877 - Active Directory - BloodHound, CollectionMethod All
• A150-006 - Command and Control - BEACON, Check-in
• A101-030 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #1
• A101-031 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #2
• A101-032 - Command and Control - MAZE Ransomware, C2 Beacon, Variant #3
• A100-878 - Command and Control - MAZE Ransomware, C2 Check-in
• A100-887 - Command and Control - MAZE, DNS Query #1
• A100-888 - Command and Control - MAZE, DNS Query #2
• A100-889 - Command and Control - MAZE, DNS Query #3
• A100-890 -  Command and Control - MAZE, DNS Query #4
• A100-891 - Command and Control - MAZE, DNS Query #5
• A100-509 - Exploit Kit Activity - Fallout Exploit Kit CVE-2018-8174, Github PoC
• A100-339 - Exploit Kit Activity - Fallout Exploit Kit CVE-2018-8174, Landing Page
• A101-033 - Exploit Kit Activity - Spelevo Exploit Kit, MAZE C2
• A100-208 - FTP-based Exfil/Upload of PII Data (Various Compression)
• A104-488 - Host CLI - Collection, Exfiltration: Active Directory Reconnaissance with SharpHound, CollectionMethod All
• A104-046 - Host CLI - Collection, Exfiltration: Data from Local Drive using PowerShell
• A104-090 - Host CLI - Collection, Impact: Creation of a Volume Shadow Copy
• A104-489 - Host CLI - Collection: Privilege Escalation Check with PowerUp, Invoke-AllChecks
• A104-037 - Host CLI - Credential Access, Discovery: File & Directory Discovery
• A104-052 - Host CLI - Credential Access: Mimikatz
• A104-167 - Host CLI - Credential Access: Mimikatz (2.1.1)
• A104-490 - Host CLI - Defense Evasion, Discovery: Terminate Processes, Malware Analysis Tools
• A104-491 - Host CLI - Defense Evasion, Persistence: MAZE, Create Target.lnk
• A104-500 - Host CLI - Discovery, Defense Evasion: Debugger Detection
• A104-492 - Host CLI - Discovery, Execution: Antivirus Query with WMI, PowerShell
• A104-374 - Host CLI - Discovery: Enumerate Active Directory Forests
• A104-493 - Host CLI - Discovery: Enumerate Network Shares
• A104-481 - Host CLI - Discovery: Language Query Using PowerShell, Current User
• A104-482 - Host CLI - Discovery: Language Query Using reg query
• A104-494 - Host CLI - Discovery: MAZE, Dropping Ransomware Note Burn Directory
• A104-495 - Host CLI - Discovery: MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.html Variant
• A104-496 - Host CLI - Discovery: MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.txt Variant
• A104-027 - Host CLI - Discovery: Process Discovery
• A104-028 - Host CLI - Discovery: Process Discovery with PowerShell
• A104-029 - Host CLI - Discovery: Remote System Discovery
• A104-153 - Host CLI - Discovery: Security Software Identification with Tasklist
• A104-083 - Host CLI - Discovery: System Info
• A104-483 - Host CLI - Exfiltration: PowerShell FTP Upload
• A104-498 - Host CLI - Impact: MAZE, Desktop Wallpaper Ransomware Message
• A104-227 - Host CLI - Initial Access, Lateral Movement: Replication Through Removable Media
• A100-879 - Malicious File Transfer - Adfind.exe, Download
• A150-046 - Malicious File Transfer - BEACON, Download
• A100-880 - Malicious File Transfer - Bloodhound Ingestor Download, C Sharp Executable Variant
• A100-881 - Malicious File Transfer - Bloodhound Ingestor Download, C Sharp PowerShell Variant
• A100-882 - Malicious File Transfer - Bloodhound Ingestor Download, PowerShell Variant
• A101-037 - Malicious File Transfer - MAZE Download, Variant #1
• A101-038 - Malicious File Transfer - MAZE Download, Variant #2
• A101-039 - Malicious File Transfer - MAZE Download, Variant #3
• A101-040 - Malicious File Transfer - MAZE Download, Variant #4
• A101-041 - Malicious File Transfer - MAZE Download, Variant #5
• A101-042 - Malicious File Transfer - MAZE Download, Variant #6
• A101-043 - Malicious File Transfer - MAZE Download, Variant #7
• A101-044 - Malicious File Transfer - MAZE Download, Variant #8
• A101-045 - Malicious File Transfer - MAZE Download, Variant #9
• A101-034 - Malicious File Transfer - MAZE Dropper Download, Variant #1
• A101-035 - Malicious File Transfer - MAZE Dropper Download, Variant #2
• A100-885 - Malicious File Transfer - MAZE Dropper Download, Variant #4
• A101-036 - Malicious File Transfer - MAZE Ransomware, Malicious Macro, PowerShell Script Download
• A100-284 - Malicious File Transfer - Mimikatz W/ Padding (1MB), Download
• A100-886 - Malicious File Transfer - Rclone.exe, Download
• A100-484 - Scanning Activity - Nmap smb-enum-shares, SMB Share Enumeration

Erkennungssignaturen der eingesetzten Angriffsmethoden

Unterscheidung von MAZE-Kampagnen auf Basis der MITRE ATT&CK Matrix

Mandiant verfolgt gegenwärtig drei separate Cluster von Aktivitäten, die der Verbreitung der Ransomware MAZE in infiltrierten Systemen dienen und mutmaßlich von verschiedenen Gruppen ausgehen. Künftige Datenerhebungen und Analysen werden möglicherweise weitere Gruppen identifizieren, die in MAZE-Operationen involviert sind, oder die Zuordnung einiger MAZE-Gruppen zu umfassenderen Clustern erlauben. Des Weiteren ist erwähnenswert, dass die Techniken aus der Phase „Erstes Eindringen“ in die folgende Aufstellung aufgenommen wurden, obwohl der Erstzugriff auf das Zielsystem in einigen Fällen möglicherweise von separaten Auftragnehmern hergestellt wurde.

MAZE-Gruppe 1: Modus Operandi anhand der MITRE ATT&CK Matrix

MAZE-Gruppe 2: Modus Operandi anhand der MITRE ATT&CK Matrix

MAZE-Gruppe 3 (FIN6): Modus Operandi anhand der MITRE ATT&CK Matrix

Skripte, die im Rahmen von MAZE-Angriffen ausgeführt wurden

PowerShell-Skript zur Erstellung einer Liste sämtlicher Verzeichnisse

Entschlüsseltes PowerShell-Skript für den FTP-Upload

Entschlüsseltes PowerShell-Skript für den FTP-Upload

Auszug aus einer Windows-Stapelverarbeitungsdatei mit Kill-Befehlen

Beispielbefehle aus einem Skript zur Verbreitung von MAZE

Beispielsskript zur Verbreitung von MAZE

Gefahrenindikatoren

Das Team von Mandiant Threat Intelligence veranstaltet am Donnerstag, dem 21. Mai 2020 um 17 Uhr MESZ ein exklusives Webinar, das Ihnen aktuelle Erkenntnisse und Informationen über die von der Ransomware MAZE ausgehende Bedrohung liefert und den Teilnehmern außerdem die Gelegenheit bietet, eigene Fragen zu stellen. Melden Sie sich noch heute an und sichern Sie sich Ihren Platz.