Seit November 2019 beobachtet FireEye Mandiant Threat Intelligence die Ransomware MAZE. Sie wird bei Angriffen eingesetzt, die drei Elemente kombinieren: den gezielten Einsatz von Ransomware, das Öffentlichmachen von Daten der Opfer und ein As-a-Service-Modell. Hacker haben MAZE mindestens seit Mai 2019 aktiv verbreitet.
Am stärksten betroffen ist die Fertigungsbranche. Die Ransomware wurde zunächst über Spam-E-Mails und Exploit-Kits verteilt, später wurde sie bei „Post-Compromise“-Angriffen eingesetzt – das heißt, sie wurde nach dem Einbruch in ein Netzwerk gezielt in der Umgebung des Opfers verbreitet.
Im November fand ein MAZE-Angriff auf deutsche Ziele statt: Dokumente, die die Schadsoftware über Makros verteilen, wurden per E-Mail mit den Betreffzeilen „Wichtige informationen uber Steuerruckerstattung“ und „1&1 Internet AG - Ihre Rechnung 19340003422 vom 07.11.19“ versendet.
Ziele waren Einzelpersonen, die vor allem in den Branchen Finanzdienstleistungen, Gesundheitswesen und Fertigung tätig sind. Die E-Mails wurden über mehrere bösartige Domains verschickt, die mit der Registrierungsadresse gladkoff1991 @ yandex.ru erstellt wurden.
An MAZE sind mehrere Akteure beteiligt, was FireEye Mandiant bei Beobachtungen von mutmaßlichen Nutzern in Untergrundforen festgestellt hat, sowie an markanten Taktiken, Techniken und Vorgehensweisen festmacht, die die Experten bei den täglichen Incident Response Einsätzen sehen.
Die Akteure hinter MAZE betreiben auch eine frei zugängliche Website, auf der sie gestohlene Daten von Opfern veröffentlichen, wenn diese sich weigern, Lösegeld zu bezahlen.
Durch die Kombination dieser beiden schadhaften Angriffsziele - die Veröffentlichung sensibler Daten im großen Stil und die Kompromittierung von Unternehmensnetzwerken – mit einem kriminellen Servicemodell ist MAZE für viele Organisationen eine ernstzunehmende Bedrohung.