Urheber von gefährlichen Erpressungstrojanern versprechen, mit ihren Untaten aufzuhören – eigentlich gute Nachrichten, oder? Im Falle der Maze Ransomware stellt sich jedoch die Frage, wieviel an der Verkündung dran ist. Wir stellen nähere Nachforschungen an.
Urheber der Maze Ransomware hören auf
Das heisst es zumindest nach Angaben der entsprechenden Webseite von Bleepingcomputer. Die Betreiber der Webseite veröffentlichten in dem Beitrag, dass die Urheber hinter der Maze Ransomware sie direkt über eine Einstellung ihres Geschäftsbetriebes informierten.
Und wie genau sieht der Geschäftsbetrieb von Ransomware-Urhebern aus? Bei Maze handelt es sich, ähnlich wie bei vielen anderen Erpressungstrojanern, um Schadsoftware, die infizierte Dateien verschlüsselt. Anschliessend verlangen die Cyberkriminellen Lösegeldzahlungen von ihren Opfern.
Wie viel ist an dem Gerücht dran? Klassische Vorgehensweise von Maze bestand unter anderem darin, bei Nichtzahlung des Lösegelds, gestohlene Daten des Opfers auf ihrer eigenen Webseite zu veröffentlichen. Der Betrieb besagter Seite wurde kurz nach der Information tatsächlich eingestellt.
Von Maze nur zu Ransomware mit anderem Namen?
Genauso wahrscheinlich ist aber leider auch, dass die Übeltäter hinter Maze nur zu einer anderen Variante von Ransomware wechseln. Die Vergangenheit zeigte bereits einige solcher Fälle. Trojaner, die mit ihren Cyberangriffen halbwegs erfolgreich sind, haben theoretisch keinen guten Grund, einfach aufzuhören.
Und Maze war solch ein erfolgreicher Kandidat. Mit der gelungenen Infektion von namhaften Marken, wie beispielsweise LG sowie Canon, zählt die Maze Ransomware zu den grössten Cyberangriffen aus dem Jahr 2020.
Und wo andere Vertreter ebenso behaupteten, ihren kriminellen Geschäftsbetrieb einzustellen, traten sie unerwartet unter anderem Namen erneut in Erscheinung. GandCrab beispielsweise verkündete 2019, dass sie aufhören. Wenig später jedoch tauchte eine Ransomware auf, die verdächtige Ähnlichkeit aufwies. Dabei handelte es sich um REvil. Und REvil verdient nach eigenen Angaben mit ihren Erpressungen sowie Ransomware-as-a-Service Betrieb etwa 100 Millionen Dollar jährlich.
Wo bleibt der Masterkey?
Dass es sich bei dem Ende von Maze bloss um ein Gerücht handeln könnte, bestätigt auch die Tatsache, dass die Betreiber bis dato keinen offiziellen Schlüssel für ihre Ransomware veröffentlichten. Dies ist unter Cyberkriminellen so Gang und Gebe, sobald der Geschäftsbetrieb tatsächlich endet. Mit einem solchen Schlüssel, dem Masterkey, ist es (früheren) Opfern möglich, durch die Ransomware verschlüsselte Dateien wieder zu entschlüsseln.
Bleepingcomputer berichtete weiterhin, dass fast zur gleichen Zeit der Kundgabe durch Maze neue Aktivitäten einer bis dato unbekannten Ransomware beobachtet wurden. Als Maze damit begann, die eigene Webseite runterzufahren, startete Egregor. Diese Ransomware fokussiert sich besonders auf die Veröffentlichung zuvor verschlüsselter und gestohlener Dateien.
Letzten Endes bleibt die Geschichte um Maze also leider wahrscheinlich genau das, wonach es aussieht: ein Gerücht. Wir bleiben für Sie an dem Fall dran und berichten auf unserem Blog regelmässig über aktuellste Erkenntnisse.