+43 699 / 18199463
office@itexperst.at
Maze Ransomware-Angriff auf Canon USA, LG und Xerox

Maze Ransomware-Angriff auf Canon USA, LG und Xerox

Canon USA scheint dieses Jahr das Unglück doppelt getroffen zu haben. Anfang August traf es eine Ransomware-Attacke und auch der Cloud-Service image.canon wurde im Juli kompromittiert. Die Ransomware-Attacke geht auf das Konto der Maze-Hackergruppe. Zum anderen Fall gibt es noch keine weiteren Informationen.

Insgesamt hielt sich Canon USA sehr zurück bei der Bekanntgabe von Informationen zu beiden Vorfällen. Am 05. August hatte die Computer-Nachrichtenseite Bleeping Computer über einen möglichen Ransomware-Angriff auf den Elektronik-Riesen in den USA berichtet. Die Informationen zum Angriff stammten aus einer anonymen internen Quelle bei Canon USA. Diese hatte einen Teil der Lösegeldforderung sowie ein internes Mitarbeiter-Memo an den Nachrichtendienst weitergegeben. Darin wurde bestätigt, dass Lösegeldforderungen für Ausfälle auf der Canon USA Webseite sowie der E-Mail- und Kontaktplattformen als auch in verschiedenen internen Systemen verantwortlich waren. Im Verlauf des Augusts wurde auf diese Weise weitere Informationen bekannt. Die IT-Abteilung bei Canon war demnach mit der Wiederherstellung der Dienste beschäftigt. Die Verantwortlichen bei Bleeping Computer gingen daher davon aus, dass Canon die Lösegeldsumme an die Erpresser bezahlt hatte.

Das war allerdings ein Trugschluss, den kurze Zeit später tauchten verschieden Daten auf der Maze Leak-Webseite auf. Das passiert in der Regel nur dann, wenn Opfer das geforderte Lösegeld nicht an die Gruppe bezahlen. Die Hacker gaben dort auch bekannt, dass sie 5 % der gestohlenen Canon-Daten veröffentlichen würden. Die veröffentlichte Datei konnte als ein 2,2 GB großes Archiv namens „STRATEGICPLANNINGpart62.zip“ identifiziert werden, das eindeutig zu Canon gehört. Die komprimierte Zip-Datei enthielt keine persönlichen oder Finanzdaten.

Die Maze-Hacker haben sich offiziell zur Ransomware-Attacke bekannt. Sie gaben an, 10 Terabyte an Daten gestohlen zu haben. Allerdings teilten sie keine weiteren Informationen über den Angriff wie die Höhe des Lösegelds und die Menge der verschlüsselten Geräte. Maze nutzt einen besonders bösartigen Ransomware-Code. Außerdem ist mittlerweile bekannt, dass die Gruppe ihre Lösegeldforderung extrem hoch ansetzt. Experten nennen hier Forderungen, die fünfeinhalbmal höher sind als der gewöhnliche Durchschnitt.

Daneben sind verdächtiger Ausfälle auf dem Foto- und Video-Speicherdienstes image.canon des Unternehmens beobachtet worden. Der Clouddienst bietet Canon-Kunden seit Februar dieses Jahres einen kostenlosen 10-GB-Datenspeicher. Fotos und Videos können von manchen Canon-Kameras direkt in den Cloudspeichert hochgeladen werden. Die Website image.canon fiel am 30. Juli 2020 aus. Ende Juli hatte Canon bemerkt, dass Fotomaterial, das vor dem 16. Juni auf image.canon hochgeladen wurde, verloren gegangen war. Nach außen hin wurde es als Webseitenaktualisierung angezeigt. Am 4. August war die Seite wieder online. Allerdings meldete das letzte Status-Update, dass man zwar einen Datenverlust zu beklagen hatte „aber keine Bild- und Videodaten unberechtigt veröffentlich worden waren“. Außerdem hieß es in dem Statement:

„Wir bestätigten, dass die Standbild-Miniaturansichten der jeweiligen Dateien nicht betroffen waren. Die Standbilder der verlorenen Bilddateien können nur angeschaut, aber nicht heruntergeladen oder übertragen werden. Wenn Benutzer versuchen, diese herunterzuladen oder zu übertragen, wird eine Fehlermeldung angezeigt werden. Wir untersuchen derzeit technische Gegenmaßnahmen.“

Dies lässt Experten auf einen weiteren Cyberangriff schließen, der aber nichts mit den Maze-Hackern zu tun hat.

Weitere Maze Ransomware-Angriffe auf Xerox und LG

Die Hackergruppe hinter der Maze-Ransomware waren Mitte dieses Jahres offenbar besonders aktiv. Im Juni wurde Daten veröffentlicht, die wohl aus internen Netzwerken der Unternehmen LG und Xerox abgesaugt wurde. Zuvor hatten sie Xerox zur Zahlung eines Lösegelds erpresst. Die Zahlung wurde aber in beiden Fällen abgelehnt. Das Netzwerk von LG wurde jedoch nicht durch Ransomware verschlüsselt. Maze gab an, dass sie von LG lediglich Daten gestohlen und das Unternehmen mit deren Veröffentlichung erpresst hatten. Die Gruppe kommunizierte:

„Wir haben beschlossen, kein Lösegeld zu fordern, weil LG-Kunden von sozialer Bedeutung sind und wir ihre Operationen nicht stören wollen. Daher haben wir nur die Daten abgesaugt“,

teilten die Maze-Hacker mit.

Was genau bei Xerox passiert war, ist den Sicherheitsexperten nicht bekannt. Nach einer schnellen Durchsicht der veröffentlichten Daten, wurde festgestellt, es handelte sich wohl um Daten aus der Kundenbetreuung bei Xerox.

Insgesamt handelte es sich um 50,2 GB Datenvolumen aus dem internen Netzwerk von LG und 25,8 GB von Xerox. Sicherheitsexperten vermuten als Einstiegspunkt in beiden Fällen die bekannten Citrix-Schwachstellen. Denn beide Unternehmen verwenden die Citrix ADC-Server. Die Ausnutzung der Schwachstelle CVE-2019-19781 gehört zu den beliebtesten Einstiegsmethoden der Maze-Hacker. Interessant wurde es, als die Sicherheitsfirma Shadow Intelligence herausfand, dass andere Hacker in einem Hackerforum Zugangsdaten zum Forschungs- und Entwicklungszentrum (F&E) von LG America verkaufen würde. Laut den Screenshots lagen die Preise für die Zugangsdaten zwischen 10.000 und 13.000 US-Dollar.

Artikel von bleepingcomputer.com, 14.08.2020: Canon USA’s stolen files leaked by Maze ransomware gang
Artikel von threatpost.com, 14.08.2020: UPDATE: Canon Ransomware Attack Results in Leaked Data, Report
Artikel von bleepingcomputer.com, 06.08.2020: Canon confirms ransomware attack in internal memo
Artikel von theregister.com, 06.08.2020: Canon not firing on all cylinders: Fledgling cloud loses people’s pics’n’vids, then ‚Maze ransomware‘ hits
Artikel von zdnet.com, 04.08.2020: Ransomware gang publishes tens of GBs of internal data from LG and Xerox

Beitragsbild: Public Domain, Creative Commons CC0, Brigitta Schneiter auf unsplash.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen