Urheber von gefährlichen Erpressungstrojanern versprechen, mit ihren Untaten aufzuhören – eigentlich gute Nachrichten, oder? Im Falle der Maze Ransomware stellt sich jedoch die Frage, wieviel an der Verkündung dran ist. Wir stellen nähere Nachforschungen an.
Urheber der Maze Ransomware hören auf
Das heisst es zumindest nach Angaben der entsprechenden Webseite von Bleepingcomputer. Die Betreiber veröffentlichten in dem Beitrag, dass die Urheber hinter der Maze Ransomware sie direkt über eine Einstellung ihres Geschäftsbetriebes informierten.
Wie läuft so ein Geschäftsbetrieb ab? Bei Maze handelt es sich – ähnlich wie bei vielen anderen Erpressungstrojanern – um Schadsoftware, die Dateien verschlüsselt. Danach verlangen die Cyberkriminellen Lösegeldzahlungen von ihren Opfern.
Wie viel ist an dem Gerücht dran? Maze drohte bei Nichtzahlung damit, gestohlene Daten des Opfers auf der eigenen Webseite zu veröffentlichen. Besagte Seite wurde kurz nach der Ankündigung tatsächlich abgeschaltet.
Von Maze nur zu Ransomware mit anderem Namen?
Genauso wahrscheinlich ist aber leider auch, dass die Übeltäter hinter Maze einfach zu einer anderen Variante wechseln. Die Vergangenheit liefert dafür einige Beispiele. Ransomware, die halbwegs erfolgreich läuft, hat keinen guten Grund aufzuhören.
Und Maze war erfolgreich. Mit der Infektion namhafter Marken wie LG und Canon zählt die Maze Ransomware zu den grössten Cyberangriffen aus dem Jahr 2020.
Andere Gruppen, die ihren Betrieb für beendet erklärt haben, tauchten später unter anderem Namen erneut auf. GandCrab beispielsweise verkündete 2019, aufzuhören – wenig später erschien eine Ransomware mit verdächtiger Ähnlichkeit: REvil. Die Gruppe verdient nach eigenen Angaben mit Erpressungen und einem Ransomware-as-a-Service-Betrieb etwa 100 Millionen Dollar jährlich.
Wo bleibt der Masterkey?
Ein weiteres Indiz dafür, dass das Ende von Maze nur ein Gerücht ist: Die Betreiber haben bis heute keinen offiziellen Schlüssel veröffentlicht. Das ist unter Cyberkriminellen üblich, sobald ein Betrieb tatsächlich endet. Mit einem solchen Masterkey können frühere Opfer durch die Ransomware verschlüsselte Dateien wieder entschlüsseln.
Bleepingcomputer berichtete ausserdem, dass fast zeitgleich mit der Maze-Ankündigung neue Aktivitäten einer bis dahin unbekannten Ransomware beobachtet wurden. Während Maze die eigene Seite herunterfuhr, startete Egregor – mit einem klaren Fokus auf die Veröffentlichung zuvor verschlüsselter und gestohlener Dateien.
Die Geschichte um Maze bleibt damit wahrscheinlich genau das, wonach es aussieht: ein Gerücht. Wir bleiben für dich am Fall dran und berichten auf unserem Blog regelmässig über aktuelle Erkenntnisse.