Ir para o conteúdo principal

Maze Ransomware – significado e definição

O Maze Ransomware é uma sofisticada variedade de ransomware do Windows que tem como alvo organizações em todo o mundo em muitas indústrias. Como em outras formas de ransomware, o Maze exige um pagamento em criptomoeda em troca da recuperação segura dos dados criptografados.

Se as vítimas de Maze Ransomwares se recusarem a pagar o resgate, os criminosos ameaçam vazar os dados confidenciais das vítimas. Este comportamento é cada vez mais visto em novas formas de ransomware, incluindo REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop e outros.

O que é um Maze Ransomware?

Desenvolvido como uma variante do ransomware ChaCha, o Maze foi inicialmente descoberto em maio de 2019. Desde dezembro de 2019, o Maze tem sido muito ativo em atingir as vítimas em indústrias numerosas.

Como funciona o ransomware Maze?

O Maze é normalmente distribuído através de:

  1. E-mails de spam, muitas vezes usando links ou anexos maliciosos (principalmente arquivos Word ou Excel)
  2. Ataques com força brutado RDP
  3. Usando um kit de exploração

Em alguns casos, o ataque pode vir de um cliente ou parceiro de uma organização que já tenha sido vítima dos hackers. Quando o Maze ganha acesso a uma rede, os operadores tentam obter privilégios elevados para que possam implementar a criptografia de arquivos em todos os drives. O Maze é particularmente perigoso porque também rouba os dados que encontra e os extrai para servidores controlados por criminosos, que depois ameaçam divulgá-los se um resgate não for pago.

As organizações podem ser capazes de restaurar os seus dados a partir de um backup seguro para voltar a funcionar (se o backup em si não tiver sido comprometido), mas isso não desfaz o fato de os criminosos terem agora uma cópia dos dados da organização. Essencialmente, o Maze é uma combinação de um ataque de ransomware e uma violação de dados.

Site de Maze Ransomware

Os criadores do Maze operam um site onde listam suas vítimas (a quem se referem como "clientes"). Neste site, eles frequentemente publicam amostras de dados roubados como forma de punição. O site inclui detalhes de quando as vítimas foram atingidas pelo Maze Ransomware, bem como links para downloads de dados e documentos roubados como "prova". Provocativamente, o site apresenta o irônico slogan "Mantendo o mundo seguro" e até inclui botões de compartilhamento social para que os detalhes das violações de dados possam ser compartilhados através das mídias sociais.

O site Maze ransomware adverte as vítimas que, se o ransomware não for pago, elas irão:

  • Divulgar publicamente detalhes sobre violações de segurança e informar a mídia
  • Vender informação roubada com valor comercial na ‘dark web’
  • Informar qualquer bolsa de valores relevante sobre o ataque e a perda de informações sensíveis para baixar o preço das ações da empresa
  • Usar informações roubadas para atacar clientes e parceiros, bem como informá-los de que a empresa foi hackeada

Acredita-se que o Maze opera através de uma rede afiliada, onde os desenvolvedores compartilham seus lucros com vários grupos que usam o Maze em redes organizacionais.

Em 2020, os criminosos por trás do Maze se uniram a dois outros grupos de criminosos cibernéticos, LockBit e RagnarLocker, formando essencialmente um cartel de ransomwares. Os criminosos reuniram seus esforços e os dados roubados por esses grupos foram publicados no site do Maze. Após esta colaboração, o Maze utilizou técnicas de execução que antes só eram utilizadas pelo RagnarLocker.

O fim do Maze ransomware?

No final de 2020, o grupo Maze ransomware anunciou o seu encerramento através de uma declaração incoerente. Eles disseram que não iriam mais atualizar seu site e que as vítimas que quisessem seus dados removidos poderiam entrar em contato com seu "suporte por bate-papo".

O grupo alegou ter iniciado os ataques para aumentar a conscientização da segurança cibernética. Ao mesmo tempo, eles afirmaram confusamente que o grupo nunca tinha realmente existido fora das cabeças dos jornalistas que escreveram sobre isso.

Eles também afirmaram ter tido acesso aos sistemas de TI do governo do estado de Nova York e vários provedores de serviços de internet (ISPs), mas optaram por não atacá-los.

As alegações do grupo ter sido dissolvido devem ser consideradas com precaução. Anteriormente, os operadores de ransomware da GandCrab anunciaram que estavam desistindo, apenas para reemergir executando o REvil/Sodinokibi. Foram observadas semelhanças entre o Maze e duas novas estirpes emergentes de ransomware conhecidas como Egregor e Sekhmet – fornecendo uma forte indicação de que o grupo está simplesmente se preparando para uma nova onda de ataques cibernéticos.

Ataque do ransomware Cognizant

Ataques de Maze Ransomware – exemplos

Exemplos notáveis de ataques do Maze Ransomware incluem:

Ataque do Maze Ransomware à Cognizant

Um dos mais importantes ataques de Maze Ransomware teve como alvo a Cognizant, uma empresa da lista Fortune 500 e uma das maiores fornecedoras de serviços de TI do mundo.

Em abril de 2020, a Cognizant foi atacada pelo grupo Maze ransomware, interrompendo os serviços aos seus clientes. O ataque criptografou e desativou alguns de seus sistemas internos e forçou-a a desligar outros sistemas.

O ataque ocorreu quando a pandemia de Covid-19 estava em curso, quando o pessoal estava trabalhando remotamente. Ao interromper os sistemas de informática que suportam a infraestrutura do desktop virtual, a capacidade de trabalho dos funcionários foi afetada. Os diretórios internos foram eliminados, tornando mais difícil a comunicação interna e das equipes de vendas com os potenciais clientes e clientes. Em alguns casos, o acesso ao e-mail foi perdido.

Alguns dos clientes da Cognizant optaram por se proteger do malware fechando o acesso da Cognizant às suas redes, colocando efetivamente os projetos em espera. A Cognizant chamou especialistas líderes em segurança cibernética para auxiliar suas equipes internas de segurança de TI. O ataque de ransomware da Cognizant também foi reportado às agências de aplicação da lei e os clientes da Cognizant receberam atualizações constantes.

Nas suas notificações de violação de dados, a Cognizant avisou que informações pessoais sensíveis, tais como números da Segurança Social, identificações fiscais, informações financeiras, carteiras de motorista e passaportes poderiam ter sido roubados. Para os funcionários que tinham cartões de crédito corporativos, a empresa avisou que provavelmente eles foram expostos durante o ataque. Para os afetados, a Cognizant forneceu um ano gratuito de roubo de identidade e monitoramento de dark web.

O custo do ataque Maze Ransomware à empresa Cognizant foi estimado entre $50 e $70 milhões de dólares imediatamente, com custos adicionais incorridos depois disso para restaurar completamente os seus sistemas.

Entre os clientes mais conhecidos estão as empresas de serviços financeiros ING e Standard Life, a empresa automotiva Mitsubishi Motors e a empresa de serviços de RH PeopleSoft. A empresa não revelou quais os clientes que foram afetados pelo ataque.

Ataque de Maze Ransomware à Canon

Em agosto de 2020, foi noticiado que a Canon havia sido vítima de um ataque de ransomware do Maze. A quadrilha extraiu até 10 TB de dados da Canon com o incidente, afetando cerca de 25 domínios Canon diferentes e uma série de seus aplicativos internos, incluindo e-mail e serviços de colaboração.

O Maze Ransomware afetou os usuários do serviço de armazenamento gratuito de 10 GB. A Canon reconheceu que quaisquer dados ou imagens salvas antes de 16 de junho de 2020 foram perdidos, mas disse que não houve vazamento de dados de imagem. Embora não acessíveis, as miniaturas desta informação ainda podem ser visualizadas online. Mas clicar em qualquer um dos instantâneos produziu um erro no site.

Ataque de Maze Ransomware à Xerox

Em julho de 2020, os operadores do Maze Ransomware alegaram que haviam violado os sistemas da Xerox e ameaçaram vazar grandes quantidades de dados, a menos que fossem pagos. O grupo publicou uma série de 10 capturas de tela em seu site como prova da violação. Estas capturas de tela indicavam que o bando tinha dados roubados relacionados com as operações de suporte ao cliente.

Ataque de Maze Ransomware à cidade de Pensacola

A cidade de Pensacola, na Flórida, foi atacada no final de 2019. O grupo Maze Ransomware ameaçou vazar dados a menos que um ransomware de 1 milhão de dólares fosse pago. Segundo informações, o grupo tinha roubado mais de 32GB de dados dos sistemas infectados da cidade. Eles vazaram 2GB como prova do ataque.

Como resultado do ataque de Maze Ransomware, os serviços de pagamento on-line da empresa de fornecimento de energia e da empresa de serviços de esgoto da cidade de Pensacola foram interrompidos. Felizmente para os residentes, outros serviços como a polícia e os bombeiros não foram afetados.

Você deve pagar o resgate solicitado por ataques do Maze Ransomware?

É recomendável que você não pague. Quanto mais pessoas pagarem o resgate, mais provável é que os criminosos lancem ataques semelhantes no futuro.

Dito isto, algumas empresas podem sentir que, a menos que paguem, a sua empresa não consegue sobreviver. Não há respostas fáceis, e em última análise é uma decisão que cada organização deve tomar com base nas suas circunstâncias. Seja o que for que decidam, é recomendado envolver as autoridades policiais e trabalhar de perto com elas para que possam investigar quem possa estar por trás dos ataques.

Independentemente das organizações pagarem, é vital compreender os problemas de segurança que levaram ao ataque em primeiro lugar. As organizações devem descobrir o que correu mal e como corrigi-lo para prevenir ataques de crimes cibernéticos no futuro.

Em resposta à abordagem do Maze malware, o FBI aconselha as empresas a considerarem a criação proativa de caches de dados fictícios. Estas coletas de dados falsas destinam-se a tornar mais difícil para os criminosos roubar arquivos genuinamente importantes durante uma invasão.

Como se proteger contra o Maze Ransomware

O Ransomware continua a evoluir. A melhor defesa contra ela é a prevenção proativa, porque uma vez que os dados foram criptografados por malware ou hackers, muitas vezes é tarde demais para recuperá-los.

Dicas para as organizações ajudarem a prevenir ataques de ransomware incluem:

1. Mantenha o software e os sistemas operacionais atualizados

Manter o software e os sistemas operacionais atualizados ajudará a protegê-lo contra malware. Aplique correções e atualizações para softwares como Microsoft Office, Java, Adobe Reader, Adobe Flash e navegadores de internet como Internet Explorer, Chrome, Firefox, Opera etc. incluindo Plugins dos navegadores. Quando você executa uma atualização, você se beneficia das últimas correções de segurança, tornando mais difícil para os criminosos cibernéticos explorarem as vulnerabilidades do seu software.

2. Usar software de segurança

À medida que o crime cibernético se torna mais difundido, a proteção do ransomware nunca foi tão crucial. Proteja os computadores do ransomware com uma solução de segurança de internet abrangente como o Kaspersky Internet Security. Quando você faz um download ou faz uma transmissão, o software bloqueia arquivos infectados, impedindo que o software de ransomware infecte seu computador e mantendo os criminosos cibernéticos à distância.

3. Use VPN para acessar a rede

Use uma VPN para acessar a rede em vez de expor o Remote Desktop Protocol (RDP) à internet. OKaspersky Secure Connection fornece privacidade online e acesso a conteúdo global.

4. Backup de dados

Faça regularmente o backup de dados para um local seguro, fora do local, para que você possa restaurar os dados roubados no caso de um ataque ocorrer. Uma maneira fácil de conseguir isso é habilitando backups automáticos em vez de confiar em um usuário para lembrar rotineiramente. Os backups devem ser testados regularmente para garantir que os dados estão sendo salvos.

5. Educar e informar o pessoal sobre os riscos da segurança cibernética

As organizações devem assegurar que o pessoal seja informado sobre os métodos utilizados pelos criminosos de informática para se infiltrarem eletronicamente nas organizações. Treinar todos os funcionários sobre as melhores práticas de segurança cibernética, tais como:

  • Evite clicar em links em e-mails de spam ou em sites não familiares. Os downloads que começam quando você clica em links maliciosos é uma das formas de infecção dos computadores.
  • Evite baixar softwares ou arquivos multimídia de sites desconhecidos.
  • Evite abrir anexos de e-mail de remetentes em quem você não confia. Veja de quem é o e-mail e confirme que o endereço de e-mail está correto. Assegure-se de avaliar se um anexo parece genuíno antes de o abrir. Se você não tiver certeza, entre em contato com a pessoa que você acha que a enviou e verifique novamente.
  • Se você receber uma chamada, texto ou e-mail de uma fonte não confiável que pede informações pessoais, não as forneça.
  • Use apenas tecnologia segura para conexão remota na rede local de uma empresa.
  • Use a segurança de endpoint com detecção de comportamento e rollback automático de arquivos, como o Kaspersky Endpoint Security for Business.
  • Use senhas únicas e difíceis de quebrar para proteger dados e contas sensíveis, além de permitir a autenticação de vários fatores.
  • Criptografar dados sensíveis sempre que possível.

Independentemente do grupo Maze Ransomware se dissolver ou simplesmente se transformar em outro grupo criminoso, a ameaça de ransomware continuará. Como sempre, a vigilância é necessária para se manter à frente das ameaças cibernéticas em constante evolução.

Artigos relacionados:

O que é um Maze Ransomware? Definição e explicação

O que é um Maze Ransomware? Maze Ransomware extorquem criptomoedas em troca de dados roubados, ameaçando vazar dados se as vítimas não pagarem o resgate.
Kaspersky Logo