El grupo de ransomware Maze golpea a Canon

07 Agosto 2020
Alto

La corporación multinacional Canon fue víctima de un ataque de ransomware lanzado por el grupo Maze contra sus servicios de correo electrónico, almacenamiento y su sitio web de Estados Unidos el 30 de julio. Maze ha amenazado con filtrar las fotos y los datos si no se paga un rescate criptográfico.

Circular Oficial

Según Bleeping Computer, canon ha hecho circular una nota a los empleados confirmando que el ransomware es el responsable de las interrupciones en su sitio web principal de EE. UU., Correo electrónico, plataformas de colaboración y varios sistemas internos.

"Canon USA, Inc. y sus subsidiarias comprenden la importancia de mantener la integridad operativa y la seguridad de nuestros sistemas", se lee en la nota, cuya captura de pantalla ha sido publicada por el medio. “El acceso a algunos sistemas Canon actualmente no está disponible como resultado de un incidente de ransomware que descubrimos recientemente. Esto no está relacionado con el problema reciente que afectó a image.canon ".

Ransomware Maze

Ransomware Maze se ha atribuido el apagón, alegando haber retirado "10 terabytes de datos privados" en el proceso. Esto encaja con el modus operandi conocido del grupo, que generalmente amenaza con filtrar o vender datos confidenciales si el objetivo no paga el rescate. De hecho, en nuestro boletín del 26 de mayo informamos como los actores detrás de Maze han creado una página web dedicada, que enumera las identidades de sus víctimas no cooperativas y publica regularmente muestras de los datos robados. Hasta ahora, esto incluye detalles de docenas de compañías, incluyendo firmas de abogados, proveedores de servicios médicos y compañías de seguros, que no han cedido a sus demandas.

"Maze es una variedad particularmente maliciosa de ransomware, los actores criminales afirman que siempre roban los datos de sus objetivos y amenazan con divulgarlos públicamente si se niegan a pagar el rescate", "Sus demandas de rescate también son particularmente costosas: la demanda promedio de Maze que hemos visto es aproximadamente cinco veces y media mayor que el promedio general".

El grupo de ransomware Maze también estuvo detrás de siguientes ataques: 

  • LG Electronics
  • Datos de la tarjeta del contratista nuclear estadounidense
  • Banco de Costa Rica El
  • Principal proveedor de servicios aeroespaciales de los Estados Unidos
  • Sonatrach, la petrolera estatal de Argelia y varias otras compañías de alto perfil.

Sitio web de Canon EE. UU

El sitio web de Canon EE. UU. Todavía no estaba activo en el momento de escribir este boletín, con una página de presentación: "el sitio está en mantenimiento temporal" ahora reemplazada por una imagen de un globo de aire caliente y el texto, "Nuestras cabezas no están en las nubes. Estamos ocupados actualizando nuestro sitio. ¡Por favor, revise luego! Mientras tanto, visítenos en: Canon Online Store o Canon Forum ".

Panorama

Objeto mitigar posibles brechas de seguridad, los usuarios pueden cambiar cualquier información confidencial que pertenezca a sus cuentas de Canon, como las contraseñas que están reutilizando en otros sitios. 

El ransomware ha estado tomando a las empresas como rehenes (literalmente), y las herramientas, tácticas y procedimientos que utilizan los actores criminales se han vuelto aún más avanzados en los últimos meses.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #maze #malware #canon #ransomware


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.