Ransomware Maze con nueva ola de ataques de "doble golpe"

En los últimos meses, los operadores de Maze se han convertido en uno de los grupos maliciosos de ransomware más prolíferos, con múltiples víctimas informadas por varios medios de comunicación desde noviembre de 2019. Esto incluye ataques dirigidos contra la firma de seguros global con sede en Suiza, "Chubb" y la más reciente contra el "Banco de Costa Rica" (BCR). Además, Maze fue una de las primeras pandillas de ransomware en estar a la vanguardia de una nueva ola de ataques de ransomware de "doble golpe". 

Maze, al igual que la mayoría de las nuevas variantes de ransomware, tienen dos líneas de extorsión hacia sus víctimas:

• Pagar para obtener la clave de descifrado y así recuperar los archivos, que fueron cifrados con el malware.
• Pagar para evitar que se publiquen los archivos, de los cuales tomamos se han tomado copias antes de cifrarlos.

Gigante de seguros Chubb

Maze afirmó en marzo haber usado ransomware para comprometer los sistemas de Chubb. También, a través de un sitio web dedicado al malware, afirman haber robado los datos de la empresa. Chubb es un proveedor de seguros con sede en Zúrich con 32.700 empleados y un ingreso anual de USD 34,2 mil millones. 

Banco de Costa Rica (BCR)

Los actores que se encuentran detrás del ransomware Maze, dicen que han obtenido acceso a información financiera del Banco de Costa Rica (BCR), aunque la institución estatal ha negado la existencia de una violación de datos. Sin embargo, en el sitio web de Maze, el 21 de mayo se lanzó un lote de esos datos y dice que filtrará más información cada semana.

Maze ransomware

Ha pasado un año desde que los ciberactores que se encuentran detrás del ransomware Maze comenzó a alcanzar notoriedad. Anteriormente identificado como "ChaCha ransomware" (un nombre tomado del cifrado de flujo utilizado por el malware para cifrar archivos), la variante de Maze se conoció por primera vez en mayo de 2019. Maze se ha entregado por múltiples medios: kits de explotación, correos electrónicos no deseados y, a medida que las operaciones del grupo se han vuelto más específicas, ataques de protocolo de escritorio remoto y otra explotación de la red.

Maze recibió mayor atención en octubre de 2019, cuando los operadores del ransomware lanzaron una campaña masiva de spam que se hizo pasar por mensajes de agencias gubernamentales. Una campaña envió mensajes alegando ser del Bundeszentralamt fur Steuern (Ministerio de Finanzas) de Alemania, mientras que otra se hizo pasar por un mensaje fiscal de la Agencia Entrate (Servicio de Impuestos Internos) de Italia, desde entonces, el ransomware Maze se ha hecho notar en gran medida por el robo y la publicación de datos de las víctimas como un medio para forzar el pago. Si bien la amenaza de exponer los datos de las víctimas ha sido durante mucho tiempo parte del libro de jugadas de los operadores de ransomware, Maze fue uno de los primeros en dar seguimiento a dicha amenaza de manera pública, comenzando con la exposición de datos de Allied Universal en noviembre de 2019.

Los desarrolladores de Maze a menudo colocan los nombres de los investigadores en cadenas contenidas en los binarios de ransomware o los "empaquetadores" que los entregan. Pero la plataforma principal utilizada para promocionar la marca Maze son los sitios web del equipo Maze, uno específicamente para sus víctimas y otro para comunicarse con el mundo en general. El sitio también ofrece una ventana de chat, para que la víctima pueda comunicarse con los representantes de atención al cliente del equipo Maze, quienes están listos para responder cualquier pregunta y negociar un pago.

El ransomware Maze está escrito principalmente en C++. Sin embargo, también se ven algunos vestigios de Assembler con ofuscación de flujo de control, lo que da a entender que Maze es un ransomware creado por desarrolladores profesionales, quienes han utilizado muchos trucos para hacer que el análisis de su código sea muy complejo.

Panorama

En marzo, el equipo de Maze anunció que detendría los ataques contra organizaciones médicas hasta que la pandemia COVID-19 "se estabilice". Maze representa un gran problema para las personas y las empresas que no pagan, ya que los desarrolladores amenazan con divulgar la información si no reciben el pago y, de hecho, mantienen su palabra al respecto. Cada vez más ransomwares exhiben el mismo comportamiento y esperamos ver más este año y tal vez más en el futuro.

Se recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.