Los desarrolladores del ransomware Maze han introducido una forma adicional de crear influencia contra las víctimas del ransomware . Si la víctima no está convencida de que debe pagar a los delincuentes porque sus archivos están encriptados, podría haber un método adicional de extorsión. Con el tiempo, más organizaciones han encontrado formas de mantener copias seguras de sus archivos importantes o utilizar algún tipo de tecnología de reversión para restaurar sus sistemas al estado en que se encontraban antes del ataque.

Para tener cierta influencia sobre estas organizaciones, los atacantes de ransomware roban datos del sistema infiltrado mientras implementan su ransomware. Luego amenazan con publicar los datos si la víctima decide no pagar. Dependiendo del tipo de datos, esta puede ser una razón bastante convincente para ceder.

Laberinto presenta datos filtrados

En el último trimestre de 2019, los desarrolladores de Maze introdujeron este nuevo método de extorsión. Y, como si el ransomware solo no fuera lo suficientemente malo, desde la introducción de esta metodología, muchos otros vendedores de ransomware han comenzado a adoptarlo. Las familias de ransomware más conocidas además de Maze que utilizan la filtración de datos como guarnición para ransomware son Clop, Sodinokibi y DoppelPaymer.

El dudoso honor de ser notada como la primera víctima fue para Allied Universal, una firma de servicios de seguridad con sede en California. Allied Universal vio que se arrojaron 700 MB de datos robados después de que se negaron a satisfacer la demanda de rescate establecida por Maze. Hoy en día, la mayoría de las pandillas de ransomware involucradas en este ataque de doble función tienen sitios web dedicados donde amenazan con publicar los datos robados de las víctimas que son reacias a pagar.

Sitio web de Maze
Sitio web donde los operadores de Maze publican los datos extraídos de sus «clientes».

Características del ransomware Maze

El ransomware Maze se desarrolló como una variante del ransomware ChaCha y fue descubierto inicialmente por el Director de Inteligencia de Amenazas Jérôme Segura de Malwarebytes en mayo de 2019. Desde diciembre de 2019, la pandilla ha estado muy activa haciendo muchas víctimas de alto perfil en casi todas las verticales: finanzas, tecnología, telecomunicaciones, atención médica, gobierno, construcción, hotelería, medios y comunicaciones, servicios públicos y energía, farmacia y ciencias de la vida, educación, seguros, venta al por mayor y legal.

Las principales formas de distribución de Maze son:

  • campañas de malspam que utilizan archivos adjuntos armados, principalmente archivos de Word y Excel
  • RDP ataques de fuerza bruta

Inicialmente, Maze se distribuyó a través de sitios web utilizando un kit de exploits como Fallout EK y Spelevo EK , que se ha visto utilizando vulnerabilidades de Flash Player. El ransomware Maze también ha utilizado exploits contra Pulse VPN , así como la vulnerabilidad de ejecución remota de código del motor VBScript de Windows para ingresar a una red.

Independientemente del método utilizado para establecerse en la red, el siguiente paso para los operadores de Maze es obtener privilegios elevados, realizar movimientos laterales y comenzar a implementar el cifrado de archivos en todas las unidades. Sin embargo, antes de cifrar los datos, se sabe que estos operadores extraen los archivos que encuentran. Estos archivos se utilizarán como un medio para obtener un apalancamiento adicional, amenazando con la exposición pública.

MAZE usa dos algoritmos para encriptar los archivos, ChaCha20 y RSA . Después del cifrado, el programa agrega una cadena de caracteres aleatorios de 4 a 7 al final de cada archivo. Cuando el malware ha terminado de encriptar todos los archivos de destino, cambia el fondo de escritorio a esta imagen:

Además, se reproduce un mensaje de voz para el usuario del sistema afectado, alertándolo del cifrado.

COI para ransomware Maze

Maze crea un archivo llamado DECRYPT-FILES.txt en cada carpeta que contiene archivos cifrados. Se salta algunas carpetas entre las que se encuentran:
•% windir%
•% programdata%
• Archivos de programa
•% appdata% \ local

También omite todos los archivos de los siguientes tipos:
• dll
• exe
• lnk
• sys

Esta nota de rescate llamada DECRYPT-FILES.txt contiene instrucciones para la víctima:

La nota de rescate explicando el ataque y cómo contactar a los ciberdelincuentes para obtener los archivos descifrados.

Luego prometen que:

Después del pago, los datos se eliminarán de nuestros discos y se le dará un desencriptador, para que pueda restaurar todos sus archivos.

SHA 256 hashes:

19aaa6c900a5642941d4ebc309433e783befa4cccd1a5af8c86f6e257bf0a72e 

6878f7bd90434ac5a76ac2208a5198ce1a60ae20e8505fc110icsofte42b3657d13

9ad15385f04a6d8dd58b4390e32d876070e339eee6b8da586852d7467514d1b1

b950db9229db2f37a7eb5368308de3aafcea0fd217c614daedb7f334292d801e

Proteccion

Malwarebytes protege a los usuarios con una combinación de diferentes capas, incluida una que detiene el ataque desde el principio y es completamente sin firma.

Además de usar Malwarebytes, también recomendamos:

  • Denegar el acceso a IP públicas a puertos importantes (puerto RDP 3389).
  • Permita el acceso a solo las IP que están bajo su control.
  • Junto con el bloqueo del puerto RDP, también sugerimos bloquear el puerto SMB 445. En general, se recomienda bloquear los puertos no utilizados.
  • Aplique los últimos paquetes de actualización de Microsoft y mantenga su sistema operativo y antivirus totalmente actualizados.

Pagos

Si bien nuestro consejo, como siempre, es no pagar a los delincuentes, ya que usted mantiene vivo su modelo de negocio al hacerlo, entendemos que la falta de archivos cruciales puede ser una razón de peso para pagarlos de todos modos. Y con el nuevo giro de la publicación de datos exfiltrados que presentaron los operadores de Maze, hay una razón adicional a la mano. Lanzar datos confidenciales en línea ha demostrado ser una persuasión adicional efectiva, ya que muchas organizaciones no pueden permitirse tenerlos a disposición del público.