¿Qué es Maze Ransomware? | ES PRO

Maze ransomware se ha dirigido a organizaciones de todo el mundo y en muchas industrias. Jerome Segura, analista de inteligencia de malware en Malwarebytes, fundar ransomware, anteriormente conocido como ChaCha, en mayo de 2019.

Inicialmente se difundió directamente a través de kits operativos y campañas de spam hasta finales de 2019. Maze se distribuyó a los usuarios en Italia el 29 de octubre de 2019 a través de correos electrónicos que identificaban a la agencia de ingresos italiana, según un Informe de prueba.

Es un archivo binario de 32 bits que generalmente aparece como un archivo .exe o .dll. Es bastante sofisticado y utiliza muchas técnicas de desenfoque para ayudarlo a evitar las técnicas de seguridad y los investigadores anti-malware.

Como casi todos los ransomware, el objetivo de Maze es cifrar archivos en el sistema de la víctima y luego solicitar un rescate para recuperar esos datos. Sin embargo, una característica interesante de Maze es que los ciberdelincuentes detrás del ransomware amenazan con exponer los datos de la víctima en línea si no pagan.

Otros ransomware, como Sodinokibi, Nemty, Clop y muchos más, han copiado este enfoque. Si bien tiene copias de seguridad, protege a su organización contra el cierre, no disminuye contra los delincuentes que tienen una copia de sus datos.

También crea puertas traseras para permitir que los piratas informáticos detrás del ransomware tengan acceso continuo al sistema.

A veces, Maze es precedido por la instalación de herramientas como Cobalt Strike, enviadas como una carga útil codificada. Actúa como baliza para realizar acciones posteriores a la operación.

¿Cómo se propaga el ransomware Maze?

Maze ransomware ingresa al dispositivo de la víctima a través de un correo electrónico de phishing, generalmente un correo electrónico de phishing. Este correo electrónico viene con un archivo adjunto malicioso, como un documento de Microsoft Word habilitado para macros o un archivo zip protegido con contraseña.

Los correos electrónicos enviados a las víctimas tenían «Entrega de paquete perdida» y «Su factura de servicio móvil de AT&T está lista para ver» sobre el tema. El documento tiene un título inocente como «Informe trimestral» o «Conjunto de datos confidenciales». Las macros de documentos maliciosos descargan kits operativos, como Fallout y Spelevo.

Una vez que la víctima ha abierto el correo electrónico de phishing, comienza a extenderse al sistema de la víctima. Al mismo tiempo, se propaga lateralmente a través de la red, tratando de obtener mayores privilegios para infectar más sistemas. Busca vulnerabilidades en la red y en los sitios de Active Directory. Las herramientas utilizadas en estos pasos incluyen mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit y otras. También realiza encuestas internas para encontrar sistemas más confidenciales o mal configurados que ejecutan servicios de intercambio de archivos o RDP.

En estas etapas, los piratas informáticos intentan encontrar y extraer datos valiosos almacenados en servidores y estaciones de trabajo en la red comprometida. Utilizan estos archivos extraídos como apalancamiento al negociar los pagos de reembolso.

Mientras esto sucede, el ransomware comienza a cifrar los archivos en la máquina local y a almacenarlos en la nube. Los datos se cifran mediante los algoritmos ChaCha20 y RSA.

Cuando se ejecuta, Maze intenta averiguar qué tipo de dispositivo ha infectado, como un servidor de respaldo, un controlador de dominio, un servidor independiente, etc. Utilice esta información en la nota de rescate y las víctimas del pánico creen que los piratas informáticos saben todo sobre su red.

En este punto, Maze se está dando a conocer al publicar una aplicación de ransomware en los automóviles infectados. Esto también explica los reclamos y los métodos de pago del pirata informático, que generalmente tienen la forma de una criptomoneda.

¿Cómo evitar detectar y analizar el ransomware Maze?

Maze ransomware tiene varias características que evitan la ingeniería inversa y el análisis estático. También hay características que lo ayudan a evadir las técnicas de seguridad comunes.

Utiliza importaciones dinámicas de funciones API, controla la atenuación del flujo mediante saltos condicionales, reemplaza RET con JMP dword ptr [esp-4], reemplazando CALL con PUSH + JMP y algunas otras técnicas para evitar el análisis estático.

Para contrarrestar el análisis dinámico, este troyano también terminará los procesos que normalmente utilizan los investigadores, como procmon, procexp, ida, x32dbg y otros.

En septiembre de 2020, Maze adoptó la técnica de máquina virtual Ragnar Locker para evitar la protección de endpoints, según Sophos. La carga útil del ransomware se ocultó en una máquina virtual Oracle VirtualBox para evitar la detección.

¿Quién fue atacado por Maze Ransomware?

Maze ransomware ha afectado a cientos de víctimas, estas organizaciones tenían su sede principalmente en América del Norte, aunque las víctimas cubrían casi todas las partes del mundo.

Las víctimas del laberinto de ransomware incluyen Cognizant, Canon, Xerox, VT San Antonio Aerospace, y MaxLinear.

Los piratas informáticos detrás de Maze asumieron la responsabilidad de cifrar los datos en Pensacola, Florida, y exigieron un rescate de $ 1 millón por un descifrador. según Forbes.

Otras víctimas recibieron sus datos publicados por la pandilla en Internet y, en ese momento, amenazaron con tirar todos los datos que les habían robado a las víctimas que no pagaron el rescate.

En mayo de 2021, un informe de ThreatLabZ, el equipo de investigación de ZScaler encontró que Maze ransomware representó 273 ataques en 2020. Superó a Conti ransomware, que ocupó el segundo lugar con 190 ataques.

¿Cómo está estructurado el grupo de ransomware Maze?

The Maze Ransom Gang trabajó directamente (infectó organizaciones y envió solicitudes de canje) y funcionó como un acuerdo de afiliación que permitía a los piratas informáticos independientes usarlo para compartir las ganancias.

En junio de 2020, Maze colaboró ​​con LockBit y RagnarLocker para formar un cartel de ransomware. Estos grupos publican datos robados en los ataques en un blog operado por la banda Maze. Posteriormente, Conti y SunCrypt también se unieron al cartel.

Según Analyst1Las pandillas que componen el cartel provienen de Europa del Este y hablan principalmente ruso, según publicaciones realizadas en foros criminales clandestinos. Hay comprobaciones de software para garantizar que la carga útil no se realice en víctimas rusas.

¿Se ha cerrado el ransomware Maze?

En noviembre de 2020, el grupo de ransomware Maze hizo una declaración bastante contundente llena de errores ortográficos de que estaba «oficialmente cerrado».

«Nunca hemos tenido socios ni sucesores oficiales. Nuestros especialistas no trabajan con ningún otro software. Nadie podrá albergar nuevos socios en nuestro sitio de noticias. El cartel del Laberinto nunca existió y no existe ahora. Solo se puede encontrar en la mente de los periodistas que han escrito sobre él. [sic]», Lea un comunicado de prensa.

Pero cuando Maze se cierra, otros toman su lugar. Según un Sophos reporte En diciembre de 2020, Egregor apareció cuando Maze fue encarcelado y también usa datos robados de víctimas para extorsionar dinero y usa los mismos algoritmos de cifrado ChaCha y RSA para cifrar los archivos de las víctimas. Sin embargo, el código de Egregor se deriva de una familia de ransomware conocida como Sekhmet, que algunos creen que es prácticamente el mismo código que Maze.

Según Bleeping Computer, muchos afiliados de Maze ahora se han cambiado a la distribución de Egregor.

¿Qué precauciones puede tomar para prevenir un ataque de ransomware?

Una de las mejores formas de proteger los datos individuales y organizativos de los ataques de ransomware, como Maze, es prevenir los ataques de phishing. Esto significa no hacer clic en enlaces en correos electrónicos de remitentes desconocidos o abrir archivos adjuntos.

Luego, estos correos electrónicos deben informarse a los equipos de TI dentro de una organización o aplicación de la ley. Los usuarios tampoco deben dejar de dar a conocer la información en ventanas emergentes o sitios web no organizativos.

Las organizaciones también deben mantener sus sistemas operativos y aplicaciones correctos y actualizados. Las macros de aplicaciones de Office también deben estar desactivadas. Las organizaciones también deben capacitar a todos los empleados sobre las mejores prácticas de seguridad cibernética.

Rate this post

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio