Maze-kiristysohjelma on monimutkainen Windows-kiristysohjelma, jonka hyökkäykset kohdistuvat eri teollisuudenalan organisaatioihin kautta maailman. Samoin kuin muutkin kiristysohjelmat, Maze vaatii lunnaita kryptovaluuttana salattujen tietojen turvallisesta palauttamisesta.
Jos Mazen uhrit kieltäytyvät maksamasta, rikolliset uhkaavat vuotaa uhrien luottamukselliset tiedot julkisuuteen. Tällainen toiminta on lisääntynyt erityisesti kiristysohjelman uusimpien muunnosten, kuten REvil/Sodinokibi, JSWorm/Nemty/Nefilim ja Clop myötä.
Maze, joka on ChaCha-kiristysohjelman muunnos, löydettiin alun perin toukokuussa 2019. Joulukuusta 2019 lähtien Maze on ollut erittäin aktiivinen kohdistaen iskuja eri teollisuudenaloihin.
Joskus hyökkäys voi tulla organisaation asiakkaalta tai kumppanilta, joka on jo joutunut hakkereiden uhriksi. Kun Maze saa verkon käyttöönsä, operaattorit pyrkivät saamaan edistyneet käyttöoikeudet, joilla he voivat levittää tiedostojen salauksen kaikkiin asemiin. Maze on erityisen vaarallinen, koska se myös varastaa löytämänsä tiedot ja välittää ne hakkereiden hallinnoimille palvelimille. Sitten hakkerit uhkaavat julkaista tiedot, ellei lunnaita makseta.
Organisaatiot voivat onnistua palauttamaan tietonsa suojatuista varmuuskopioista ja ottaa ne uudestaan käyttöön (jos varmuuskopiot ovat välttäneet tartunnan). Rikollisilla on silti hallussaan kopiot organisaation datasta. Maze on perimmiltään kiristysohjelmahyökkäyksen ja tietomurron yhdistelmä.
Mazen luoneet hakkerit pitävät yllä verkkosivuja, joilla he listaavat uhriensa nimet (joita he kutsuvat "asiakkaiksi"). He julkaisevat säännöllisesti otteita varastetuista tiedoista rangaistuksena. Verkkosivut sisältävät tarkkoja tietoja siitä, kuinka uhrit joutuivat Maze-hyökkäyksen kohteeksi, sekä linkkejä varastettuihin tietoihin ja dokumentteihin "todisteena". Verkkosivujen slogan on provokatiivisesti ironinen "Pidetään maailma turvallisena". Sivuilla on jopa painikkeet, joilla tietomurtojen tietoja voidaan jakaa sosiaalisessa mediassa.
Maze-kiristysohjelmasivusto varoittaa uhreja, että jos lunnaita ei makseta kiristäjät:
Mazen uskotaan toimivan yhteistyökumppanien verkon välityksellä. Kehittäjät jakavat tuotoksensa monien ryhmien kanssa, jotka käyttävät Mazea organisatorisissa verkoissa.
Vuonna 2020 Mazen taustalla olevat rikolliset liittoutuivat kahden muun kyberrikollisjoukon LockBitin ja RagnarLockerin kanssa muodostaen kiristysohjelmakartellin. Rikolliset yhdistivät ponnistuksensa ja ryhmien varastamat tiedot julkaistiin Mazen verkkosivuilla. Yhteistyön seurauksena Maze ajoi toimenpiteitä, joita RagnarLocker oli aiemmin käyttänyt.
Vuoden 2020 lopussa Maze-kiristysohjelmaryhmä ilmoitti pitkäsanaisesti lopettavansa toimintansa. He ilmoittivat, että verkkosivua ei enää päivitetä ja että uhrit, jotka halusivat tietonsa poistettaviksi, voisivat ottaa yhteyttää "asiakastukichattiin".
Ryhmä ilmoitti, että he olivat aloittaneet hyökkäykset lisätäkseen tietoisuutta kyberturvallisuudesta. Samalla he sekavasti väittivät, että ryhmä ei koskaan todella ollut olemassa muualla, kuin aiheesta kirjoittavien journalistien mielikuvituksessa.
He myös väittivät omaavansa pääsyn New Yorkin osavaltion IT-järjestelmiin ja useisiin internet-palveluntarjoajiin, mutta päättivät olla hyökkäämättä.
Ryhmän väitteisiin toiminnan lakkauttamisesta pitää suhtautua varauksellisesti. Aiemmin kiristysohjelma GandCrabin operaattorit ilmoittivat lopettavansa toimintansa, vain aloittaakseen uudestaan ohjelmalla REvil/Sodinokibi. Mazen ja kahden vasta löydetyn kiristysohjelman − jotka tunnetaan nimillä Egregor ja Sekhmet − välillä on havaittu samankaltaisuuksia. Se viittaa vahvasti siihen, että ryhmä on yksinkertaisesti aloittamassa uutta kyberhyökkäysten aaltoa.
Esittelemme seuraavaksi joitakin tunnettuja esimerkkejä Maze-kiristysohjelman uhreista.
Yksi tunnetuimmista Maze-kiristysohjelmahyökkäyksistä kohdistui Fortune 500 -listallekin kuuluvaan Cognizant-yritykseen, joka on yksi maailman suurimmista IT-palvelujen tarjoajista.
Maze-kiristysohjelmaryhmä hyökkäsi Cognizant-yritykseen keskeyttäen sen asiakkailleen tarjoamat palvelut. Hyökkäys salasi ja kytki pois toiminnasta osan yrityksen sisäisistä järjestelmistä ja pakotti sen sulkemaan muut.
Hyökkäys tapahtui Covid-19-pandemian aikana, kun henkilökunta yritti tehdä töitä kotoa käsin. Kun virtuaalista työpöytäinfrastruktuuria tukevat tietokonejärjestelmät keskeytettiin, työntekijöiden oli vaikea tehdä töitä. Sisäiset hakemistot tuhottiin, jolloin työntekijöiden oli vaikeampi pitää yhteyttä toisiinsa ja myyntitiimit eivät voineet kommunikoida olemassa olevien ja uusien asiakkaiden kanssa. Jossain tapauksissa myös sähköpostiyhteys menetettiin.
Osa Cognizantin asiakkaista päätti suojautua haittaohjelmalta sulkien Cognizantin pääsyn verkkoihinsa ja jäädyttäen projektit. Cognizant kutsui johtavat kyberturvallisuusasiantuntijat sisäisten IT-turvallisuustiimiensä avuksi. Cognizantiin kohdistuneesta hyökkäyksestä raportoitiin myös poliisille ja yrityksen asiakkaille tiedotettiin tilanteesta jatkuvasti.
Tietomurtoa koskevissa tiedotteissaan Cognizant varoitti, että arkaluontoisia henkilötietoja, kuten sosiaaliturvanumeroita, verotunnisteita, taloudellisia tietoja, ajokortteja ja passeja oli mahdollisesti varastettu. Yritys varoitti, että yritysluottokortit olivat todennäköisesti altistuneet hyökkäyksessä. Cognizant tarjosi hyökkäyksestä kärsineille vuoden ajan maksuttoman henkilöllisyysvarkauden ja pimeän verkon valvonnan.
Hyökkäyksen välitön selvittely maksoi Cognizantille noin 50−70 miljoonaa dollaria ja lisäkuluja koitui myöhemmin tietokonejärjestelmien täydellisestä palauttamisesta toimintaan.
Cognizantin asiakkaisiin lukeutuu rahoituspalveluyhtiöitä kuten ING ja Standard Life, autoteollisuusyritys Mitsubishi Motors ja henkilöstöpalveluyritys PeopleSoft. Yritys ei tiedottanut, mitkä asiakkaat kärsivät hyökkäyksestä.
Elokuussa 2020 tiedotettiin, että Canon oli joutunut Maze-kiristysohjelmahyökkäyksen uhriksi. Jengi varasti jopa 10 teratavua Canonin dataa ja hyökkäys vahingoitti noin 25:tä Canonin eri toimialuenimeä ja sen useita sisäisiä sovelluksia kuten sähköpostia ja yhteistyöpalveluja.
Hyökkäys vaikutti myös 10 Gt:n maksuttoman tallennustilan käyttäjiin. Canon myönsi, että ennen 16. kesäkuuta 2020 tallennetut tiedot ja kuvat olivat kadonneet, mutta yrityksen mukaan kuvia ei ollut vuotanut julkisuuteen. Vaikka tiedot eivät olleet käytettävissä, niiden esikatselukuvia oli mahdollista katsella verkossa. Esikatselukuvan napsautus johti verkkosivun virheeseen.
Vuoden 2020 heinäkuussa Maze-kiristysohjelman operaattorit väittivät murtautuneensa Xeroxin järjestelmiin ja uhkasivat vuotaa valtavan määrän dataa, jos lunnaita ei maksettaisi. Ryhmä julkaisi verkkosivuillaan 10 kuvankaappausta todisteena murrosta. Kuvankaappauksista kävi ilmi, että jengi oli varastanut asiakastukitoimintoihin liittyvää dataa.
Floridalaisen Pensacolan kaupunkiin hyökättiin vuoden 2019 lopussa. Maze-kiristysryhmä uhkasi vuotaa tiedot, ellei heille maksettaisi miljoonan dollarin lunnaita. Oletettavasti ryhmä oli varastanut yli 32 Gt dataa kaupungin tartunnan saaneista järjestelmistä. Todisteena hyökkäyksestä he vuosivat julkisuuteen 2 Gt tietoa.
Hyökkäyksen seurauksena Pensacola Energy -yhtiön ja Pensacolan kaupungin jätevesijärjestelmän verkkomaksupalvelut keskeytettiin. Asukkaiden onneksi muut palvelut, kuten poliisi ja palokunta toimivat edelleen normaalisti.
Suositus on, että heille ei makseta. Mitä useammat henkilöt maksavat lunnaat, sitä todennäköisemmin rikolliset tekevät samankaltaisia hyökkäyksiä tulevaisuudessa.
Siitä huolimatta yritykset voivat kokea, että he selviävät vain maksamalla hyökkääjille. Helppoja vastauksia ei ole. Lopulta kukin organisaatio tekee päätökset omien olosuhteidensa pohjalta. Mikä tahansa päätös onkin, on suositeltavaa ottaa yhteys poliisiin ja työskennellä tiiviisti heidän kanssaan. Näin poliisi voi selvittää, kuka hyökkäysten takana on.
Huolimatta siitä, maksaako organisaatio vai ei, on ehdottoman tärkeää ymmärtää, mitkä turvallisuusongelmat johtivat hyökkäykseen. Organisaation pitäisi selvittää, mikä meni vikaan ja kuinka ongelma korjataan kyberrikollisuushyökkäysten estämiseksi tulevaisuudessa.
Maze-haittaohjelman lähestymistapaa koskien FBI neuvoo yrityksiä luomaan ennakoivasti valetietojen välimuisteja. Valheelliset tiedostokokoelmat on tarkoitettu vaikeuttamaan hakkereiden toimintaa, kun he pyrkivät varastamaan aidosti tärkeitä tiedostoja.
Kiristysohjelmat kehittyvät jatkuvasti. Paras puolustus niitä vastaan on ennakoiva esto. Kun haittaohjelma tai hakkeri on onnistunut salaamaan tiedot, on liian myöhäistä yrittää palauttaa ne.
Vinkkejä, jotka auttavat organisaatioita estämään kiristysohjelmahyökkäykset:
Ohjelmistojen ja käyttöjärjestelmän pitäminen päivitettyinä auttaa sinua suojautumaan haittaohjelmilta. Suorita päivitykset ja korjaukset ohjelmistoille, kuten Microsoft Office, Java, Adobe Reader, Adobe Flash ja internetselaimille, kuten Internet Explorer, Chrome, Firefox ja Opera selainlaajennukset mukaan lukien. Kun suoritat päivityksen, varmistat, että saat käyttöösi uusimmat suojauskorjaukset, jotta kyberrikollisten on vaikeampi hyödyntää ohjelmistojen haavoittuvuuksia.
Kun kyberrikollisuus leviää, suojaus kiristysohjelmia vastaan on tärkeämpää kuin koskaan. Suojaa tietokoneesi kiristysohjelmilta kattavalla internetsuojausratkaisulla, kuten Kaspersky Internet Securityllä. Kun lataat tietoja tai käytät suoratoistoa, ohjelmistomme torjuu saastuneet tiedostot, estää kiristysohjelmia tartuttamasta tietokonettasi ja pitää kyberrikolliset kurissa.
Käytä VPN-yhteyttä, kun otat yhteyden verkkoon sen sijaan, että altistaisit etätyöpöytäprotokollan (RDP) internetille. Kaspersky Secure Connection tarjoaa yksityisyyden verkossa ja globaalin sisällön käyttömahdollisuuden.
Tallenna tiedoista säännöllisesti varmuuskopio turvalliseen, toimipisteen ulkopuoliseen paikkaan. Näin voit palauttaa varastetut tiedot, vaikka hyökkäys tapahtuisi. Automaattisten varmuuskopioiden käyttö on helppo tapa, eikä käyttäjän tarvitse muistaa toistuvia tallennustöitä. Varmuuskopiot tulisi testata säännöllisesti sen takaamiseksi, että data on tallentunut.
Organisaatioiden pitäisi taata, että henkilökunta tuntee menetelmät, joilla kyberrikollisilla on tapana tunkeutua yrityksen järjestelmiin. Kouluta kaikki työntekijät, jotta he noudattavat alla lueteltuja kyberturvallisuuden parhaita käytäntöjä:
Huolimatta siitä lopettaako Maze-kiristysohjelmaryhmä toimintansa vai sulautuuko se yksinkertaisesti toiseksi rikollisryhmäksi, kiristysohjelmien uhka elää. Kuten aina, tarkkaavaisuus on tarpeen jatkuvasti kehittyvien kyberuhkien edellä pysymiseksi.
Aiheeseen liittyvät artikkelit: