Criminelen stoppen met verspreiden van beruchte Maze-ransomware

De makers van de beruchte Maze-ransomware stoppen naar eigen zeggen met hun criminele activiteiten. De hackers infecteren sinds september geen nieuwe bedrijven meer en stoppen met het faciliteren van servers voor de malware.

Een van de verspreiders zegt tegen Bleeping Computer dat de makers stoppen met hun operaties, maar de makers van Maze zeggen zelf dat 'meer informatie volgt in een persbericht'. Volgens de verspreider zal Maze geleidelijk stoppen met het verspreiden van de ransomware. De groep zou geen nieuwe netwerken meer infecteren; dat gebeurt al sinds september van dit jaar niet meer. Ook zou de website inmiddels offline zijn gehaald en alle bestanden van bedrijven worden ervan verwijderd. De groep zou nu nog proberen de laatste bedrijven af te persen en daarna definitief stoppen.

Volgens Bleeping Computer zijn de meeste affiliates van Maze inmiddels overgestapt op nieuwe ransomware: Egregor. Die is sinds september actief, wat overeenkomt met de periode waarop Maze zou zijn gestopt. Grote delen van de code van Egregor zijn hetzelfde als die van Maze.

Maze was een van de beruchtste ransomwarevarianten van het afgelopen jaar. De criminelen waren sinds medio 2019 actief. Maze onderscheidde zich door bestanden niet alleen te versleutelen, maar ook te stelen. Als slachtoffers niet betaalden, gaven de criminelen de bestanden vrij. Dat leverde een extra reden op om te betalen. Maze hield een eigen website bij waar de documenten van niet-betalende slachtoffers op stonden. Volgens Bleeping Computer is die website inmiddels leeggemaakt.

Het gebeurt wel vaker dat criminelen definitief stoppen met ransomware; vorig jaar stopten ook de makers van GandCrab met de verspreiding. In sommige gevallen geven de criminelen na het stopzetten van hun operatie de decryptiesleutels vrij waarmee slachtoffers hun bestanden terug kunnen krijgen. De criminelen willen tegen Bleeping Computer niet zeggen of dat bij Maze ook gaat gebeuren.

Door Tijs Hofmans

Redacteur

29-10-2020 • 09:54

79 Linkedin

Reacties (79)

Wijzig sortering
Het lijkt bijna een officiele buisness, dat ransomware. Ze verspreiden zelfs persberichten. Alsof het om legale ondernemingen gaat.
Die clubs zijn inmiddels wel notoir 'professioneel'. Helpdesks, websites, alles...
Hoe meer zielen, hoe meer vreugd pak-kans.
Hopelijk laat er een in de komende maanden/jaren een steekje vallen.
Er is een funfeitje over de CoinVault-ransomware die werd gemaakt door Nederlandse jongens. Die hadden ergens in de code C:\Mijn Documenten\Harry de Vries\ransomware staan. Toen waren ze heel makkelijk te pakken door de politie.
Hij had het op z'n minst 'huiswerk' kunnen noemen :+
daarom heet ik Bill Gates volgens windows O-)

[Reactie gewijzigd door flippy op 29 oktober 2020 10:38]

Nog gefeliciteerd met je 65e verjaardag gisteren.
dank je, voel me geen dag ouder dan 38 :+
Maar 38 dagen oud? Hoogbegaafd dan zeker ... :+
Met 38 weken kunnen die van mij nog niet typen hoor :)
Met 38 Weken nog niet? Dan zijn ze traag!

Zelf heb ik ook een andere naam in mijn computer. Zou standaard moeten zijn.

[Reactie gewijzigd door musiman op 29 oktober 2020 16:16]

Hello my friend,

I have proposition for you that will make you very rich.


antwoord: no thx, I'm trying to get rid of all my money :+
We can help with that too :)
Tsja dat zegt niets. Mijn macbook staat ook geregistreerd op Harry de Koning ;)
Eerder was al in het nieuws dat ze betere/snellere klantenservice hebben dan bv de telco's en energiebedrijven. Misschien zitten er een aantal mensen achter die hele slechte ervaring hebben met klantenservice en een nieuw bedrijf zijn gestart om te laten zien hoe je ook een klantenservice kan runnen :+.
Ik heb zo de link niet, maar er is een gast die een keer zo'n helpdesk heeft getraceerd en een counter hack uitvoerde en daar de camera's over heeft genomen etc. Toen hij voldoende beeld had om het exacte gebouw in kaart te hebben, bleek het dus een officieel helpdesk bedrijf te zijn met een verborgen afdeling in een ruimte achter het pand.
Hier is het linkje! Zijn 4 verschillende video's geweest.
https://www.youtube.com/p...AXaavD0EByQN1h1SSSfJD9xEM
Ja dat was hem, Jim Browning! Geweldig om te zien.
nog even en ze gaan belasting betalen...
Een brievenbus hier in Nederland en dan is dat nog makkelijk te ontwijken ;)
Volgens de belastingdienst is een kantoor met buro en een kamerplant voldoende voor een brievenbusfirma.
kamerplant is niet nodig. tenzij je die wil aftrekken of een combo koopje habt met de tafel. :Y)
Dat met die plant is de wet op ik geloof de kaaimaneilanden, of een van die andere brievenbusbedrijven facciliterende gelddoorsluis eilanden.
Tiengemeten, om precies te zijn.
Dat is werkverschaffing. Iemand moet immers die plant water geven en op die manier verdient iemand toch nog iets aan zo'n brievenbus.
Doen ze waarschijnlijk sowieso wel, tijdens het witwassen van het geld ;p
Lijkt mij toch raar om op z'n helpdesk te werken.

Goedemorgen waar ik u mee van dienst zijn?
Ja, nee dat is geen probleem u kunt de betaling in 3 termijnen doen op dit Bitcoin adres.

Prettige dag nog gewenst.
Dat gaat idd zo. Ik raad je aan deze korte 4 delige 'scamming the scammers' te zien op youtube: https://www.youtube.com/watch?v=le71yVPh4uk
Daar verbaasde ik mij ook al enorm over. Daarmee wordt de term 'another day at the office' wel heel letterlijk genomen.

Los van alles is dit uiteraard een zeer lucratieve business maar met een ethische verantwoording van nul. Het is nog eens strafbaar ook, dus vroeg of laat vissen ze toch wel achter het net.

Ironisch genoeg zijn er ook verspreiders die zich voordoen als sollicitanten om zo bedrijven te infecteren. Waarschijnlijk hebben ze de beste intenties om aan een fatsoenlijke baan te komen ;)
Schaamteloze zelfpromotie maar dat schreef ik onlangs ook in deze achtergrond. De groepen bestaan inmiddels uit werknemers met allemaal eigen disciplines: iemand met kennis van C, een sysadmin met kennis van netwerkinfra, iemand die goed phishingcampagnes kan maken... En inderdaad, daar worden ook 'sollicitaties' voor gehouden.
Niet heel veel anders als de Whatsapp, en andere babbeltruuk oplichters.
De Microsoft Helpdesk die vanuit India belt...
Ook die zijn georganiseerd, en werken met verschillende disciplines.
Alsof het om legale ondernemingen gaat.
Buiten de legaliteit zijn dit soort criminele organisaties ook het beste te vergelijken met ondernemingen. Er komt namelijk veel organisatiekunde bij kijken om de verschillende onderdelen (zoals @Tijs Hofmans ook noemt) samen te laten werken en op elkaar in te laten spelen.

[Reactie gewijzigd door The Zep Man op 29 oktober 2020 10:18]

hun serviceverlening is zelfs vrij indrukwekkend te noemen: buiten het ethische aspect om en dat het ronduit crimineel is, is hun support van een niveau dat vele legale bedrijven er een voorbeeld aan kunnen nemen.
buiten het ethische aspect om en dat het ronduit crimineel is, is hun support van een niveau dat vele legale bedrijven er een voorbeeld aan kunnen nemen.
Voor veel legale bedrijven is de service uitmuntend als ze geld moeten (blijven) ontvangen, en er het risico bestaat dat ze geen geld meer zullen ontvangen. Voor illegale ondernemingen zal dat niet anders zijn.

Zodra dat risico weg is, zakt de kwaliteit van de dienstverlening in veel gevallen.

[Reactie gewijzigd door The Zep Man op 29 oktober 2020 10:28]

Topcriminelen hadden als het anders was gelopen in hun leven vaak ook topondernemer of CEO kunnen zijn.
Heel bizar om te lezen, inderdaad. Maar ook weer niet zo gek als je er even over nadenkt. Ik denk dat dit "persbericht" ook gewoon een stukje marketing is. Als puntje bij paaltje komt is Malware immers ook gewoon een product waar mensen (lees: criminelen) geld voor over hebben.
de meeste affiliates van Maze inmiddels overgestapt op nieuwe ransomware: Egregor.
Je zult toch op een een of andere manier aan je "gebruikers" kenbaar moeten maken dat je een nieuwe versie van je ransomware hebt. :P
Het heet ook niets voor niets georganiseerde misdaad. Kijk maar eens naar de organisatie van een Mafia familie. De hierarchy is het zelfde als een groot bedrijf. Met een bestuur, een CEO, executives, vice presidents, managers en gewone werknemers.
Nou inderdaad zeg... lekker betrouwbaar ook, die meldingen. Mensen trapper er zeker niet meer zoveel in of zo? Ze moeten wat....
Bedrijven betalen braaf wat ze vragen. Het is een vrij simpele business en de pakkans is ook vrijwel nihil.
Het is gewoon een verdien model alleen over de rug van gebruikers....
Net zoals de "bescherming" door mafia...
een "kapitalistisch" bedrijf levert een product, niet een recovery na een overval door hetzelfde bedrijf of een bedrijf in het zelfde kartel.

[Reactie gewijzigd door tweaknico op 29 oktober 2020 13:59]

Klopt, dat is het deel "binnen de wet" of je niks van de wet aantrekken.

En het is wel degelijk zo dat een bedrijf vaak probeert om je zoveel mogelijk uit te laten geven aan hun producten. Kijk maar naar de psychologische trucs die uit de kast worden gehaald om (vooral) kinderen microtransacties te laten doen in games, kijk naar outbound callcenters die ouderen overhalen een ander telecom of energie contract aan te gaan. Die opereren op de grens van wat wettelijk mag, en zijn ethisch twijfelachtig. Dat zit echt niet ver meer af van crimineel gedrag, af en toe. En het is ook niet voor niets dat dergelijke callcenters regelmatig in handen blijken te zijn van criminelen.

Ja, iemand in elkaar slaan en vervolgens als enige ziekenhuis in de buurt medische hulp verkopen is iets wat we duidelijk zien als fout, en wat die ransomware bendes doen valt ook in die categorie. Maar ze worden wel degelijk gerund alsof het en bedrijf is, en zelf hebben ze blijkbaar minder last van hun geweten, helaas.

Overigens denk ik dat deze groep er mee kapt omdat ze in Duitsland onderzoeken of er iemand door is overleden. Voor "dood door schuld" willen ze niet gepakt worden, dat gaat nog een stapje serieuzer dan "afpersing".
'meer informatie volgt in een persbericht'
Ze doen net alsof ze een beursgenoteerde multinational zijn. Die hebben zichzelf wel heel erg hoog zitten. Hopen dat ze opgepakt worden en een hele diepe val maken van hun hoge troon waar zij zichzelf neerzetten. Gekkies :+
maar ze kunnen zich zo voelen. Ze hebben toch wel een systeem ontwikkeld wat dus zodanig goed functioneert. Je kan alles zeggen, maar ze weten wel hoe ze moeten opereren.

De drugsbaron is ook een gekkie zeker ?
De drugsbaron is zeker een gekkie. Moraal kompas is aardig zoek als je zonder ook maar een nachtje slaap te verliezen je gebruikers zo de ellende in kan laten storten door jouw verslavende middelen.

Daarnaast zeg ik ook niet dat ze het proces niet goed hebben ingericht voor zichzelf, maar je hebt als crimineel wel een hele hoge pet van jezelf op als je persberichten over je daden gaat verspreiden. In mijn inzien onterecht aangezien ze hierbij verdienen door andere mensen schade te berokkenen zonder ook maar iets productiefs toe te voegen aan de maatschappij. Dat is geen erkenning waard in mijn optiek.
En de (legale) wapenhandelaar en medewerkers in de fabriek waar ze gemaakt worden ook?

One way or another geraken die wapens die je daar fabriceert in conflictgebieden of oorlogen, of bij die gekke drugshandelaar en zijn kartel, en worden er onschuldige mensen mee vermoord...

In sommige sectoren moet je gewoon geen (of niet veel) moraal hebben (legaal of illegaal), want als je er te veel over nadenkt dan moet je ook niet bij de lokale hamburgertoko gaan werken want zo werk je obesitas in de hand en dus ook een hoop ellende voor sommige mensen. Of in een bar want die alcoholverslaafde die elke dag in je bar een fles sterke leegt gooit zijn leven ook weg.

Ik praat het niet goed, maar zowel de drugsdealer, barbediende, de wapenfabriek en de ransomwareverkoper kunnen best geen moraal hebben, want anders slapen ze inderdaad geen enkele nacht goed. En het verschil tussen de wapenfabriek / bar en de drugsdealer / ransomwareverkoper is puur de letter der wet. Als ze drugs zouden legaliseren en controleren is het niet anders dan wapens of alcohol. Dat is ook allemaal gereguleerd.

Voor ransomware kan ik geen goed woordje doen verder, dat is gewoon afpersing.
Het is heel moeilijk voorstelbaar voor mij, omdat ik mij in alles wat ik doe enorm moreel bezwaard voel door de impact die al je handelingen wel ergens ter wereld op negatieve wijze hebben, maar het ontbreken van moraal is inderdaad wel een goede verklaring waarom zulke 'beroepen' als crimineel, wapenhandelaar, hedge fund beheerder bestaan. Maar hoe het voelt om zo te zijn valt voor mij niet voor te stellen.
Het is een beetje verder wij/zij denken. Wij zijn goed, zij zijn fout, foute mensen mag je wat aan doen toch?... "Zij" hebben hun moreel kompas omgedraaid om welke reden dan ook (Wraak/Vijand/Ongebreidelde Ambitie/Niet kunnen samenleven met anderen/....).
Ik snap je niet helemaal. 'Foute' mensen mag je toch ook niet iets aandoen? Ik zou een wapenhandelaar geen kwaad willen doen, noch een crimineel, omdat ze wapenhandelaar dan wel crimineel zijn. Het zijn ook mensen! Alleen mensen die ik niet snap.
Ik ben het eens, maar je vroeg je wat af...
Voor ransomware kan ik geen goed woordje doen verder, dat is gewoon afpersing.
totdat ook die sector gereguleerd wordt :+
Criminelen, zeker jonge criminelen, voelen zich al gauw het mannetje als ze "succesvol" zijn en wat geld verdienen met hun activiteiten. Dat soort haantjesgedrag is dus niet zo heel opmerkelijk.
"Grote delen van de code van Egregor zijn hetzelfde als die van Maze."

Oftewel, het is meer een soort van rebranding. Denk dat hun marketing afdeling zich verveelde... Wat een malloten zeg. Ga met de kennis die je hebt ondernemingen ondersteunen i.p.v. afpersen.
Waarschijnlijker is dat ze hun centen hebben en de broncode verkocht hebben aan een andere groep.

Harde break maken maakt het daarna onwaarschijnlijker om alsnog gepakt te worden als de nieuwe groep in de fout gaat. Een beetje verstandige crimineel weet dat je uiteindelijk of stopt of gepakt word. Lijkt erop dat deze lui verstandig genoeg zijn om die beslissing te maken.

note: Dit is wel allemaal speculatie.
Niet helemaal, het is niet alsof de oude makers met een nieuwe naam verder gaan. Meestal kijken zulke ransomware-actoren goed naar elkaar en nemen ze delen van elkaars werk over, zeker als sommige codes al wat ouder worden en uitlekken. Dat betekent niet dat het om dezelfde mensen gaat. Waarschijnlijk (weet je natuurlijk nooit zeker) is het een nieuwe groep die gewoon de bestaande (en effectieve) code van Maze gebruikt.
Misschien binnenkort even kijken op hun 'over-ons' pagina wanneer ze ook de nieuwe website lanceren. :+
Nou, dan wacht ik nog even met betalen, die sleutel komt dan vanzelf :+
Dit is onironisch wat off-the-record door sommige securitybedrijven werd gesuggereerd toen GandCrab stopte.
zullen vast niet gestopt zijn uit gewetensprincipes...

er zal vast een betere, effectievere manier zijn waar ze de boel weer mee gaan verzieken de komende tijd.
Ze hebben hun schaapjes op het droge. Ze hebben zeker de aandacht van allerlei opsporings instanties, en je kunt ook maar een beperkte hoeveelheid geld uitgeven zonder op te vallen.

Dus als je enkele miljoenen aan bitcoins hebt en niet wil opvallen moet je het op enig moment rustig aan gaan doen.
Ze lijken niet echt wakker te liggen dat ze om vijf uur in de ochtend gewekt worden door de politie.

Nu nog wachten op het jaarverslag in hoogglans 120g/cm2 papier, met het gebruikelijke management gebabbel over targets.

Volledig gescheiden bedrijfsnetwerken gaan nog heel groot worden. Met een soort e-mail postkamer waar de inkomende e-mail handmatig geïnspecteerd en doorgestuurd zal worden. En een losstaande computer die het internet op mag, voor diegenen die moeten surfen.
Nu nog wachten op het jaarverslag in hoogglans 120g/cm2 papier,
Dat is wel heel erg zwaar.. ;)
Nou, wat nobel hoor :X . Kortlijnig, weet ik. Maar meer valt er toch niet over te zeggen?

[Reactie gewijzigd door SkyStreaker op 29 oktober 2020 09:59]

Dat ze maar gauw tegen dat koud stukje metaal aanlopen om vervolgens afgevoerd te worden naar een black site om nooit meer gezien te worden.

Echt dat soort figuren hebben niets om trots om op te zijn.
Dat metaal wordt best warm van de lancering en de luchtwrijving...
De groep zou nu nog proberen de laatste bedrijven af te persen en daarna definitief stoppen.
Nog even wat bedrijven afpersen. Brb. 8)7

[Reactie gewijzigd door Relief2009 op 29 oktober 2020 10:03]

Er zitten verder ook geen kwade bedoelingen achter... 8)7
De groep zou nu nog proberen de laatste bedrijven af te persen en daarna definitief stoppen.
Toch netjes dat ze de lopende contacten nog afhandelen. Daar kunnen veel ondernemers nog van leren ;)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee