什么是 Maze 勒索软件？

什么是 Maze 勒索软件？

Maze 是一种勒索软件*，自 2019 年以来一直在影响众多组织。虽然 Maze 由一个主要团体创建，但多个攻击者都使用 Maze 进行勒索。

除了加密数据外，大多数 Maze 的操作者还复制他们加密的数据，并威胁说除非支付赎金，否则将泄露这些数据。Maze 勒索软件感染将勒索软件的负面影响（数据丢失、生产力下降）与数据泄露的负面影响（数据泄露、侵犯隐私）相结合，使其成为众多企业的特别关注点。

*勒索软件是恶意软件，通过加密文件和数据来将其锁定。受害者被告知，只有向攻击者支付赎金，他们才能取回自己的文件和数据。

Maze 勒索软件的攻击是如何进行的？

当 Maze 勒索软件首次投入使用时，它大多是通过恶意的电子邮件附件进行传播。最近的攻击在投放勒索软件有效载荷前使用了其他方法入侵网络。例如，许多 Maze 勒索软件攻击使用偷来的或猜测的远程桌面协议 (RDP) 凭据（用户名和密码组合）来渗透到网络中。其他攻击则从入侵易受攻击虚拟专用网络 (VPN) 服务器开始。

一旦 Maze 进入一个网络，它就会采取以下步骤：

1. 侦察：Maze 研究网络的漏洞，并尽可能多地识别连接的机器，帮助确保最终的勒索软件激活能够产生最大的影响。除其他事项外，Maze 还扫描 Active Directory，这是一个 Windows 程序，列出了网络上所有授权用户和计算机。侦察过程通常在攻击者渗透到目标网络后的几天内完成。
2. 横向移动：Maze 利用它在侦察过程中获得的信息在网络中自我传播，感染尽可能多的设备。
3. 特权升级：随着 Maze 的横向移动，它窃取了更多的凭据，使其能够传播到更多的机器上。最终，它通常会获得管理员凭据，从而控制整个网络。
4. 持久性：Maze 使用一些技术来抵制清除。例如，它可能在网络中安装后门程序（绕过安全措施的隐藏方式），这样，如果它被发现并被删除，就可以重新安装。
5. 攻击：最后，Maze 开始加密和渗出数据的过程。在加密数据后，Maze 会显示或发送一份赎金通知，告诉受害者如何付款、解锁他们的数据以及防止数据泄露。

Maze 如何泄露数据？

“泄露”意味着未经授权将数据移出可信区域。通常，Maze 通过与文件传输协议 (FTP) 服务器连接并将文件和数据复制到该服务器以及对其进行加密来泄露数据。攻击者使用 PowerShell 和 WinSCP 实用程序来执行这些操作。

在某些情况下，外泄的数据被转移到云文件共享服务，而不是直接转移到 FTP 服务器。

什么是 Maze 网站？

几年来，创建 Maze 的勒索软件集团在暗网上运营一个网站。他们在网站上发布被盗数据和文件，作为他们过去攻击的证据，并包含分享被盗数据的社交媒体链接。

2020 年 11 月，在他们网站上的一篇帖子中，Maze 集团声称他们正在关闭运营。然而，正如勒索软件集团经常出现的情况一样，他们可能仍然以不同的名字活跃。

什么是 Cognizant Maze 勒索软件攻击？

Cognizant Maze 勒索软件攻击是在 2020 年 4 月发生的一次重大事件。Cognizant 是一家为世界各地的公司提供 IT 服务的公司。这次攻击破坏了 Cognizant 的网络，也可能导致属于他们客户的机密数据被盗（Cognizant 没有透露他们的哪些客户受到攻击的影响）。Cognizant 花了几周时间才完全恢复其服务，在这期间，许多客户的业务流程被放缓或停止。

Cognizant 公司估计由于该攻击造成的损失为 5000 万至 7000 万美元。

还有哪些主要的 Maze 攻击？

• 美国佛罗里达州彭萨科拉市：彭萨科拉市在 2019 年受到了 Maze 的侵害。攻击者泄露了彭萨科拉 2GB 的数据作为攻击的证据。
• Canon：Maze 在 2020 年感染了成像设备公司 Canon。攻击者外泄了 10TB 的数据。Canon 免费存储服务的许多用户由于这次攻击而永久地失去了他们的数据。
• Xerox：Maze 在 2020 年入侵了 Xerox 的系统，窃取了 100GB 的数据。
• LG Electronics：2020 年，Maze 窃取并泄露了 LG 的源代码数据。

其他 Maze 受害者包括 WorldNet Telecommunications、Columbus Metro Federal Credit Union、美国骨科协会和 VT San Antonio Aerospace。

如何阻止 Maze 勒索软件

采取以下步骤能够大大降低发生 Maze 勒索软件攻击的可能性：

• 避免使用默认凭据：Maze 攻击利用凭据泄露来渗透到网络中。默认的用户名和密码通常在地下犯罪中是众所周知的，因此非常不安全。
• 使用双因素身份验证 (2FA)：2FA 意味着在授予用户对应用程序的访问权限之前，不仅仅使用用户名和密码进行身份验证——例如，要求使用攻击者无法窃取或复制的硬件令牌。
• 电子邮件安全：过滤掉恶意的电子邮件附件，并训练用户忽略出乎意料的电子邮件和不受信任的附件。
• 更新系统：软件更新可以修补 Maze 通常用来入侵服务器和网络的一些漏洞。
• 反恶意软件扫描：如果发生 Maze 感染，尽快检测并从受感染的设备中删除它十分重要。反恶意软件可以检测设备上大多数形式的 Maze。应立即将受感染的设备与网络的其他部分隔离。
• 零信任安全：零信任安全模型通过定期重新验证用户和设备，并立即限制感染了恶意软件的设备的访问权限，有助于阻止网络内的横向移动。了解有关零信任网络的更多信息。

Cloudflare One 是一个零信任网络即服务 (NaaS) 平台，可安全地连接远程用户、办公室和数据中心。了解有关 Cloudflare One 的更多信息，以及它如何抵御勒索软件攻击。