Criminelen stoppen met verspreiden van beruchte Maze-ransomware

De makers van de beruchte Maze-ransomware stoppen naar eigen zeggen met hun criminele activiteiten. De hackers infecteren sinds september geen nieuwe bedrijven meer en stoppen met het faciliteren van servers voor de malware.

Een van de verspreiders zegt tegen Bleeping Computer dat de makers stoppen met hun operaties, maar de makers van Maze zeggen zelf dat 'meer informatie volgt in een persbericht'. Volgens de verspreider zal Maze geleidelijk stoppen met het verspreiden van de ransomware. De groep zou geen nieuwe netwerken meer infecteren; dat gebeurt al sinds september van dit jaar niet meer. Ook zou de website inmiddels offline zijn gehaald en alle bestanden van bedrijven worden ervan verwijderd. De groep zou nu nog proberen de laatste bedrijven af te persen en daarna definitief stoppen.

Volgens Bleeping Computer zijn de meeste affiliates van Maze inmiddels overgestapt op nieuwe ransomware: Egregor. Die is sinds september actief, wat overeenkomt met de periode waarop Maze zou zijn gestopt. Grote delen van de code van Egregor zijn hetzelfde als die van Maze.

Maze was een van de beruchtste ransomwarevarianten van het afgelopen jaar. De criminelen waren sinds medio 2019 actief. Maze onderscheidde zich door bestanden niet alleen te versleutelen, maar ook te stelen. Als slachtoffers niet betaalden, gaven de criminelen de bestanden vrij. Dat leverde een extra reden op om te betalen. Maze hield een eigen website bij waar de documenten van niet-betalende slachtoffers op stonden. Volgens Bleeping Computer is die website inmiddels leeggemaakt.

Het gebeurt wel vaker dat criminelen definitief stoppen met ransomware; vorig jaar stopten ook de makers van GandCrab met de verspreiding. In sommige gevallen geven de criminelen na het stopzetten van hun operatie de decryptiesleutels vrij waarmee slachtoffers hun bestanden terug kunnen krijgen. De criminelen willen tegen Bleeping Computer niet zeggen of dat bij Maze ook gaat gebeuren.

Maze ransomware

Reacties (79)

mkools24 29 oktober 2020 09:59

Het lijkt bijna een officiele buisness, dat ransomware. Ze verspreiden zelfs persberichten. Alsof het om legale ondernemingen gaat.

Auteur

TijsZonderH Nieuwscoördinator @mkools24 • 29 oktober 2020 10:02

Die clubs zijn inmiddels wel notoir 'professioneel'. Helpdesks, websites, alles...

MrMonkE @TijsZonderH • 29 oktober 2020 10:08

Hoe meer zielen, hoe meer vreugd pak-kans.
Hopelijk laat er een in de komende maanden/jaren een steekje vallen.

Auteur

TijsZonderH Nieuwscoördinator @MrMonkE • 29 oktober 2020 10:10

Er is een funfeitje over de CoinVault-ransomware die werd gemaakt door Nederlandse jongens. Die hadden ergens in de code C:\Mijn Documenten\Harry de Vries\ransomware staan. Toen waren ze heel makkelijk te pakken door de politie.

tweakery

@TijsZonderH • 29 oktober 2020 10:27

Hij had het op z'n minst 'huiswerk' kunnen noemen

flippy @TijsZonderH • 29 oktober 2020 10:37

daarom heet ik Bill Gates volgens windows

[Reactie gewijzigd door flippy op 24 juli 2024 01:40]

T.C @flippy • 29 oktober 2020 11:08

Nog gefeliciteerd met je 65e verjaardag gisteren.

flippy @T.C • 29 oktober 2020 11:58

dank je, voel me geen dag ouder dan 38

D11 @flippy • 29 oktober 2020 12:50

Maar 38 dagen oud? Hoogbegaafd dan zeker ...

cappie @D11 • 29 oktober 2020 13:11

Met 38 weken kunnen die van mij nog niet typen hoor

musiman

@cappie • 29 oktober 2020 16:14

Met 38 Weken nog niet? Dan zijn ze traag!

Zelf heb ik ook een andere naam in mijn computer. Zou standaard moeten zijn.

[Reactie gewijzigd door musiman op 24 juli 2024 01:40]

dasiro @flippy • 29 oktober 2020 12:38

Hello my friend,

I have proposition for you that will make you very rich.

antwoord: no thx, I'm trying to get rid of all my money

EwickeD @dasiro • 29 oktober 2020 13:18

We can help with that too

supersnathan94 @TijsZonderH • 29 oktober 2020 16:59

Tsja dat zegt niets. Mijn macbook staat ook geregistreerd op Harry de Koning

maxkranendijk @TijsZonderH • 29 oktober 2020 11:02

Eerder was al in het nieuws dat ze betere/snellere klantenservice hebben dan bv de telco's en energiebedrijven. Misschien zitten er een aantal mensen achter die hele slechte ervaring hebben met klantenservice en een nieuw bedrijf zijn gestart om te laten zien hoe je ook een klantenservice kan runnen

Jhojo @maxkranendijk • 29 oktober 2020 13:30

Ik heb zo de link niet, maar er is een gast die een keer zo'n helpdesk heeft getraceerd en een counter hack uitvoerde en daar de camera's over heeft genomen etc. Toen hij voldoende beeld had om het exacte gebouw in kaart te hebben, bleek het dus een officieel helpdesk bedrijf te zijn met een verborgen afdeling in een ruimte achter het pand.

Qroqant @Jhojo • 29 oktober 2020 15:21

Hier is het linkje! Zijn 4 verschillende video's geweest.
https://www.youtube.com/p...AXaavD0EByQN1h1SSSfJD9xEM

Jhojo @Qroqant • 29 oktober 2020 16:15

Ja dat was hem, Jim Browning! Geweldig om te zien.

Jeroen73 @TijsZonderH • 29 oktober 2020 10:05

nog even en ze gaan belasting betalen...

relst89 @Jeroen73 • 29 oktober 2020 10:12

Een brievenbus hier in Nederland en dan is dat nog makkelijk te ontwijken

zx9r_mario @relst89 • 29 oktober 2020 10:21

Volgens de belastingdienst is een kantoor met buro en een kamerplant voldoende voor een brievenbusfirma.

flippy @zx9r_mario • 29 oktober 2020 10:38

kamerplant is niet nodig. tenzij je die wil aftrekken of een combo koopje habt met de tafel.

trogdor @flippy • 29 oktober 2020 10:49

Dat met die plant is de wet op ik geloof de kaaimaneilanden, of een van die andere brievenbusbedrijven facciliterende gelddoorsluis eilanden.

flippy @trogdor • 29 oktober 2020 11:59

nederland?

PCG2020 @flippy • 29 oktober 2020 13:47

Tiengemeten, om precies te zijn.

NBK @trogdor • 29 oktober 2020 22:26

Dat is werkverschaffing. Iemand moet immers die plant water geven en op die manier verdient iemand toch nog iets aan zo'n brievenbus.

Sokoo @Jeroen73 • 29 oktober 2020 10:19

Doen ze waarschijnlijk sowieso wel, tijdens het witwassen van het geld ;p

0xygen500 @TijsZonderH • 29 oktober 2020 11:54

Lijkt mij toch raar om op z'n helpdesk te werken.

Goedemorgen waar ik u mee van dienst zijn?
Ja, nee dat is geen probleem u kunt de betaling in 3 termijnen doen op dit Bitcoin adres.

Prettige dag nog gewenst.

Atmosfeer @0xygen500 • 29 oktober 2020 14:38

Dat gaat idd zo. Ik raad je aan deze korte 4 delige 'scamming the scammers' te zien op youtube: https://www.youtube.com/watch?v=le71yVPh4uk

Jochemp @mkools24 • 29 oktober 2020 10:07

Daar verbaasde ik mij ook al enorm over. Daarmee wordt de term 'another day at the office' wel heel letterlijk genomen.

Los van alles is dit uiteraard een zeer lucratieve business maar met een ethische verantwoording van nul. Het is nog eens strafbaar ook, dus vroeg of laat vissen ze toch wel achter het net.

Ironisch genoeg zijn er ook verspreiders die zich voordoen als sollicitanten om zo bedrijven te infecteren. Waarschijnlijk hebben ze de beste intenties om aan een fatsoenlijke baan te komen

Auteur

TijsZonderH Nieuwscoördinator @Jochemp • 29 oktober 2020 10:27

Schaamteloze zelfpromotie maar dat schreef ik onlangs ook in deze achtergrond. De groepen bestaan inmiddels uit werknemers met allemaal eigen disciplines: iemand met kennis van C, een sysadmin met kennis van netwerkinfra, iemand die goed phishingcampagnes kan maken... En inderdaad, daar worden ook 'sollicitaties' voor gehouden.

tweaknico @TijsZonderH • 29 oktober 2020 11:11

Niet heel veel anders als de Whatsapp, en andere babbeltruuk oplichters.
De Microsoft Helpdesk die vanuit India belt...
Ook die zijn georganiseerd, en werken met verschillende disciplines.

The Zep Man

Beveiliging en antivirus

@mkools24 • 29 oktober 2020 10:18

Alsof het om legale ondernemingen gaat.

Buiten de legaliteit zijn dit soort criminele organisaties ook het beste te vergelijken met ondernemingen. Er komt namelijk veel organisatiekunde bij kijken om de verschillende onderdelen (zoals @TijsZonderH ook noemt) samen te laten werken en op elkaar in te laten spelen.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 01:40]

polthemol Moderator General Chat @The Zep Man • 29 oktober 2020 10:26

hun serviceverlening is zelfs vrij indrukwekkend te noemen: buiten het ethische aspect om en dat het ronduit crimineel is, is hun support van een niveau dat vele legale bedrijven er een voorbeeld aan kunnen nemen.

The Zep Man

Beveiliging en antivirus

@polthemol • 29 oktober 2020 10:28

buiten het ethische aspect om en dat het ronduit crimineel is, is hun support van een niveau dat vele legale bedrijven er een voorbeeld aan kunnen nemen.

Voor veel legale bedrijven is de service uitmuntend als ze geld moeten (blijven) ontvangen, en er het risico bestaat dat ze geen geld meer zullen ontvangen. Voor illegale ondernemingen zal dat niet anders zijn.

Zodra dat risico weg is, zakt de kwaliteit van de dienstverlening in veel gevallen.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 01:40]

Dennisdn @The Zep Man • 29 oktober 2020 10:42

Topcriminelen hadden als het anders was gelopen in hun leven vaak ook topondernemer of CEO kunnen zijn.

RaptorGsus @mkools24 • 29 oktober 2020 10:21

Heel bizar om te lezen, inderdaad. Maar ook weer niet zo gek als je er even over nadenkt. Ik denk dat dit "persbericht" ook gewoon een stukje marketing is. Als puntje bij paaltje komt is Malware immers ook gewoon een product waar mensen (lees: criminelen) geld voor over hebben.

de meeste affiliates van Maze inmiddels overgestapt op nieuwe ransomware: Egregor.

Je zult toch op een een of andere manier aan je "gebruikers" kenbaar moeten maken dat je een nieuwe versie van je ransomware hebt.

ashwin911 @mkools24 • 29 oktober 2020 10:45

Het heet ook niets voor niets georganiseerde misdaad. Kijk maar eens naar de organisatie van een Mafia familie. De hierarchy is het zelfde als een groot bedrijf. Met een bestuur, een CEO, executives, vice presidents, managers en gewone werknemers.

ShopHB @mkools24 • 29 oktober 2020 12:26

Nou inderdaad zeg... lekker betrouwbaar ook, die meldingen. Mensen trapper er zeker niet meer zoveel in of zo? Ze moeten wat....

Joppiez @mkools24 • 29 oktober 2020 12:43

Bedrijven betalen braaf wat ze vragen. Het is een vrij simpele business en de pakkans is ook vrijwel nihil.

tweaknico @mkools24 • 29 oktober 2020 11:09

Het is gewoon een verdien model alleen over de rug van gebruikers....
Net zoals de "bescherming" door mafia...

tweaknico @dok33 • 29 oktober 2020 13:56

een "kapitalistisch" bedrijf levert een product, niet een recovery na een overval door hetzelfde bedrijf of een bedrijf in het zelfde kartel.

[Reactie gewijzigd door tweaknico op 24 juli 2024 01:40]

dok33 @tweaknico • 30 oktober 2020 09:21

Klopt, dat is het deel "binnen de wet" of je niks van de wet aantrekken.

En het is wel degelijk zo dat een bedrijf vaak probeert om je zoveel mogelijk uit te laten geven aan hun producten. Kijk maar naar de psychologische trucs die uit de kast worden gehaald om (vooral) kinderen microtransacties te laten doen in games, kijk naar outbound callcenters die ouderen overhalen een ander telecom of energie contract aan te gaan. Die opereren op de grens van wat wettelijk mag, en zijn ethisch twijfelachtig. Dat zit echt niet ver meer af van crimineel gedrag, af en toe. En het is ook niet voor niets dat dergelijke callcenters regelmatig in handen blijken te zijn van criminelen.

Ja, iemand in elkaar slaan en vervolgens als enige ziekenhuis in de buurt medische hulp verkopen is iets wat we duidelijk zien als fout, en wat die ransomware bendes doen valt ook in die categorie. Maar ze worden wel degelijk gerund alsof het en bedrijf is, en zelf hebben ze blijkbaar minder last van hun geweten, helaas.

Overigens denk ik dat deze groep er mee kapt omdat ze in Duitsland onderzoeken of er iemand door is overleden. Voor "dood door schuld" willen ze niet gepakt worden, dat gaat nog een stapje serieuzer dan "afpersing".

tweakery

29 oktober 2020 10:02

'meer informatie volgt in een persbericht'

Ze doen net alsof ze een beursgenoteerde multinational zijn. Die hebben zichzelf wel heel erg hoog zitten. Hopen dat ze opgepakt worden en een hele diepe val maken van hun hoge troon waar zij zichzelf neerzetten. Gekkies

theduke1989 @tweakery • 29 oktober 2020 10:16

maar ze kunnen zich zo voelen. Ze hebben toch wel een systeem ontwikkeld wat dus zodanig goed functioneert. Je kan alles zeggen, maar ze weten wel hoe ze moeten opereren.

De drugsbaron is ook een gekkie zeker ?

tweakery

@theduke1989 • 29 oktober 2020 10:26

De drugsbaron is zeker een gekkie. Moraal kompas is aardig zoek als je zonder ook maar een nachtje slaap te verliezen je gebruikers zo de ellende in kan laten storten door jouw verslavende middelen.

Daarnaast zeg ik ook niet dat ze het proces niet goed hebben ingericht voor zichzelf, maar je hebt als crimineel wel een hele hoge pet van jezelf op als je persberichten over je daden gaat verspreiden. In mijn inzien onterecht aangezien ze hierbij verdienen door andere mensen schade te berokkenen zonder ook maar iets productiefs toe te voegen aan de maatschappij. Dat is geen erkenning waard in mijn optiek.

b12e @tweakery • 29 oktober 2020 10:38

En de (legale) wapenhandelaar en medewerkers in de fabriek waar ze gemaakt worden ook?

One way or another geraken die wapens die je daar fabriceert in conflictgebieden of oorlogen, of bij die gekke drugshandelaar en zijn kartel, en worden er onschuldige mensen mee vermoord...

In sommige sectoren moet je gewoon geen (of niet veel) moraal hebben (legaal of illegaal), want als je er te veel over nadenkt dan moet je ook niet bij de lokale hamburgertoko gaan werken want zo werk je obesitas in de hand en dus ook een hoop ellende voor sommige mensen. Of in een bar want die alcoholverslaafde die elke dag in je bar een fles sterke leegt gooit zijn leven ook weg.

Ik praat het niet goed, maar zowel de drugsdealer, barbediende, de wapenfabriek en de ransomwareverkoper kunnen best geen moraal hebben, want anders slapen ze inderdaad geen enkele nacht goed. En het verschil tussen de wapenfabriek / bar en de drugsdealer / ransomwareverkoper is puur de letter der wet. Als ze drugs zouden legaliseren en controleren is het niet anders dan wapens of alcohol. Dat is ook allemaal gereguleerd.

Voor ransomware kan ik geen goed woordje doen verder, dat is gewoon afpersing.

FairPCsPlease @b12e • 29 oktober 2020 12:27

Het is heel moeilijk voorstelbaar voor mij, omdat ik mij in alles wat ik doe enorm moreel bezwaard voel door de impact die al je handelingen wel ergens ter wereld op negatieve wijze hebben, maar het ontbreken van moraal is inderdaad wel een goede verklaring waarom zulke 'beroepen' als crimineel, wapenhandelaar, hedge fund beheerder bestaan. Maar hoe het voelt om zo te zijn valt voor mij niet voor te stellen.

tweaknico @FairPCsPlease • 30 oktober 2020 09:31

Het is een beetje verder wij/zij denken. Wij zijn goed, zij zijn fout, foute mensen mag je wat aan doen toch?... "Zij" hebben hun moreel kompas omgedraaid om welke reden dan ook (Wraak/Vijand/Ongebreidelde Ambitie/Niet kunnen samenleven met anderen/....).

FairPCsPlease @tweaknico • 30 oktober 2020 11:19

Ik snap je niet helemaal. 'Foute' mensen mag je toch ook niet iets aandoen? Ik zou een wapenhandelaar geen kwaad willen doen, noch een crimineel, omdat ze wapenhandelaar dan wel crimineel zijn. Het zijn ook mensen! Alleen mensen die ik niet snap.

tweaknico @FairPCsPlease • 30 oktober 2020 11:21

Ik ben het eens, maar je vroeg je wat af...

EwickeD @b12e • 29 oktober 2020 13:24

Voor ransomware kan ik geen goed woordje doen verder, dat is gewoon afpersing.

totdat ook die sector gereguleerd wordt

Aiii @tweakery • 29 oktober 2020 10:05

Criminelen, zeker jonge criminelen, voelen zich al gauw het mannetje als ze "succesvol" zijn en wat geld verdienen met hun activiteiten. Dat soort haantjesgedrag is dus niet zo heel opmerkelijk.

Memozz 29 oktober 2020 10:07

"Grote delen van de code van Egregor zijn hetzelfde als die van Maze."

Oftewel, het is meer een soort van rebranding. Denk dat hun marketing afdeling zich verveelde... Wat een malloten zeg. Ga met de kennis die je hebt ondernemingen ondersteunen i.p.v. afpersen.

Tommy_K @Memozz • 29 oktober 2020 10:20

Waarschijnlijker is dat ze hun centen hebben en de broncode verkocht hebben aan een andere groep.

Harde break maken maakt het daarna onwaarschijnlijker om alsnog gepakt te worden als de nieuwe groep in de fout gaat. Een beetje verstandige crimineel weet dat je uiteindelijk of stopt of gepakt word. Lijkt erop dat deze lui verstandig genoeg zijn om die beslissing te maken.

note: Dit is wel allemaal speculatie.

Auteur

TijsZonderH Nieuwscoördinator @Memozz • 29 oktober 2020 10:21

Niet helemaal, het is niet alsof de oude makers met een nieuwe naam verder gaan. Meestal kijken zulke ransomware-actoren goed naar elkaar en nemen ze delen van elkaars werk over, zeker als sommige codes al wat ouder worden en uitlekken. Dat betekent niet dat het om dezelfde mensen gaat. Waarschijnlijk (weet je natuurlijk nooit zeker) is het een nieuwe groep die gewoon de bestaande (en effectieve) code van Maze gebruikt.

Memozz @TijsZonderH • 29 oktober 2020 13:40

Misschien binnenkort even kijken op hun 'over-ons' pagina wanneer ze ook de nieuwe website lanceren.

i2Paq 29 oktober 2020 10:07

Nou, dan wacht ik nog even met betalen, die sleutel komt dan vanzelf

Auteur

TijsZonderH Nieuwscoördinator @i2Paq • 29 oktober 2020 10:22

Dit is onironisch wat off-the-record door sommige securitybedrijven werd gesuggereerd toen GandCrab stopte.

Quadrupeltje 29 oktober 2020 10:20

zullen vast niet gestopt zijn uit gewetensprincipes...

er zal vast een betere, effectievere manier zijn waar ze de boel weer mee gaan verzieken de komende tijd.

tweaknico @Quadrupeltje • 29 oktober 2020 11:14

Ze hebben hun schaapjes op het droge. Ze hebben zeker de aandacht van allerlei opsporings instanties, en je kunt ook maar een beperkte hoeveelheid geld uitgeven zonder op te vallen.

Dus als je enkele miljoenen aan bitcoins hebt en niet wil opvallen moet je het op enig moment rustig aan gaan doen.

FrostyPeet 29 oktober 2020 11:25

Ze lijken niet echt wakker te liggen dat ze om vijf uur in de ochtend gewekt worden door de politie.

Nu nog wachten op het jaarverslag in hoogglans 120g/cm2 papier, met het gebruikelijke management gebabbel over targets.

Volledig gescheiden bedrijfsnetwerken gaan nog heel groot worden. Met een soort e-mail postkamer waar de inkomende e-mail handmatig geïnspecteerd en doorgestuurd zal worden. En een losstaande computer die het internet op mag, voor diegenen die moeten surfen.

stresstak @FrostyPeet • 29 oktober 2020 13:52

Nu nog wachten op het jaarverslag in hoogglans 120g/cm2 papier,

Dat is wel heel erg zwaar..

SkyStreaker 29 oktober 2020 09:58

Nou, wat nobel hoor

. Kortlijnig, weet ik. Maar meer valt er toch niet over te zeggen?

[Reactie gewijzigd door SkyStreaker op 24 juli 2024 01:40]

Bozebeer38 29 oktober 2020 10:03

Dat ze maar gauw tegen dat koud stukje metaal aanlopen om vervolgens afgevoerd te worden naar een black site om nooit meer gezien te worden.

Echt dat soort figuren hebben niets om trots om op te zijn.