Todo lo que debes saber sobre el peligroso ransomware Maze

Introducción

Uno de los muchos temas recurrentes en ciberseguridad se hace eco de uno de los grandes lemas en la vida de “lo único constante es el cambio”.

El ransomware no es una excepción a esta regla. Esto se demuestra mejor con nuevos tipos de ransomware que están redefiniendo de lo que es capaz esta categoría de malware. Los atacantes aprovechan estos nuevos tipos de ransomware para impulsar sus ataques aún más con resultados devastadores.

En este artículo encontrarás detalles sobre el ransomware Maze y explorarás qué es, cómo Maze es diferente de otros tipos de ransomware y cómo funciona. También destacaremos algunos ejemplos reales de este malware en el entorno. Aquellos que estén investigando sobre malware encontrarán que este artículo es la guía de referencia para Maze que están buscando.

¿Qué es Maze?

Maze, también conocido como ChaCha, es un ransomware que se observó por primera vez en mayo de 2019. Al principio, Maze fue una instancia bastante poco notable de ransomware que estuvo involucrado en campañas de extorsión. A partir de octubre de 2019, Maze se volvió más agresivo y más público.

Yendo un paso más allá de casi cualquier malware que se haya visto, en noviembre de 2019 Maze comenzó a divulgar públicamente a sus víctimas. Comenzó publicando los nombres de las compañías que no han cumplido con sus demandas de rescate.

Las campañas de ataque que emplean Maze generalmente se hacen pasar por agencias gubernamentales legítimas y proveedores de seguridad. Usan este señuelo para robar y cifrar datos para luego intentar extorsionar al propietario de los datos.

Maze se utiliza como parte de un ciberataque múltiple. En términos generales, se observa que Maze aparece en el segundo o tercer paso de estas campañas.  Es menos probable que se use como una técnica de acceso inicial.

¿Qué diferencia a Maze de otros ransomware?

Si se puede decir algo sobre los ataques cibernéticos en los últimos cinco años, el ransomware realmente se ha puesto a la vanguardia. Aumentó su frecuencia durante 2016. Sería difícil leer las noticias y no escuchar de alguna audaz campaña de ransomware que pone a una compañía objetivo de rodillas.

Dicho esto, otra observación evidente es la aparente naturaleza unidimensional de los ataques de ransomware. Hasta ahora, la mayoría de los ataques de ransomware solo han cifrado datos locales en el entorno objetivo de la víctima.

Si bien esto puede ser un flagelo para las organizaciones que no son las más conocedoras de seguridad informática. Empero, debe tenerse en cuenta que muchas víctimas de ransomware han tenido éxito en descifrar sus datos sin ceder ante las demandas de rescate.

La funcionalidad de Maze supera con creces este enfoque de ransomware tradicional al usar una combinación 1-2-3 de:

  1. Cifrar
  2. Exfiltrar
  3. Extorsionar

Cuando se compara Maze con otros ransomware, la clara diferencia es su capacidad para extraer los datos cifrados y extorsionar a la víctima. El resultado final de esto es la capacidad de golpear a las víctimas con lo que se ha descrito como un “doble golpe” del ransomware.

La mayoría del ransomware simplemente cifra los datos locales de las víctimas. Por su parte, Maze puede aplicar más presión a las víctimas al amenazar con filtrar datos confidenciales.

Esta amenaza debe tomarse en serio, los investigadores de Trend Micro han notado que los grupos que usan Maze han cumplido con esta amenaza. De hecho, han liberado información confidencial de la víctima al público a través de sitios web de “name and shame“. A mediados de diciembre de 2019, esta filtración implicó la publicación de documentos y bases de datos sin procesar pertenecientes a víctimas no conformes.

¿Cómo funciona Maze?

El “trabajo” es un poco subjetivo aquí, ya que los diferentes tipos de malware hacen cosas diferentes, según su código, para decirles qué hacer. Dado que el ransomware solo necesita ingresar a un sistema para funcionar, obtener esta entrada es mucho más que la típica “mitad de la batalla”. Esto es más como la batalla misma.

Otros ransomware generalmente usan ingeniería social y campañas de correo electrónico no deseado para obtener acceso a un sistema específico. Por su parte Maze usa kits de exploits a través de descargas automáticas.

Como sabes, los kits de exploits son una compilación de vulnerabilidades de software conocidas que. En su conjunto, estas vulnerabilidades sirven como un kit de herramientas de explotación todo en uno.

No me malinterpreten aquí: sé que los kits de exploits no son nuevos en ningún sentido. Sin embargo, en el ámbito del ransomware, los kits de exploits son desconocidos aparte de Maze.

Uno de los kits de exploits que utiliza Maze se llama Fallout, que utiliza varios exploits encontrados en GitHub. Una de estas vulnerabilidades es un exploit de Flash Player, CVE-2018-15982. Fallout es un kit de exploits relativamente nuevo que usa PowerShell en lugar del navegador web para ejecutar su payload. Maze también se ha observado usando Spelevo, otro kit de exploits.

Ejemplos reales de Maze

Aunque relativamente nuevo, hay bastantes ejemplos del mundo real de Maze que vale la pena mencionar. A continuación, hay dos notables:

Southwire

Maze atacó a este fabricante de alambres y cables con sede en Georgia en diciembre de 2019. Después de cinco días de no cumplir con el rescate de $6 millones, el grupo de ataque Maze publicó los datos que cifró y robó a la víctima. Maze se usó para robar 120 GB de datos de Southwire y para cifrar 878 dispositivos.

Ciudad de Pensacola, Florida

Diciembre fue un mes ocupado para el grupo de ataque Maze. Una de sus campañas más grandes en términos de escala y, en última instancia, el efecto fue contra la ciudad de Pensacola, Florida. Maze afirmó haber comprometido los departamentos de finanzas, tesorería, ejecutivo, gestión de riesgos, legal, vivienda y recursos humanos de la ciudad.

Por alguna razón desconocida, el grupo Maze no cumplió con su amenaza de publicar información confidencial. Simplemente publicó la lista de datos extraídos y hosts para servir como prueba del ataque. Esto es más que raro para un ataque de ransomware.

Conclusión

El ransomware existe desde hace años y estamos comenzando a ver casos de este malware que rompen el molde y forjan una nueva dirección. Maze difiere de otros ransomware en muchas formas significativas: desde sus capacidades hasta el corazón del ataque del ransomware, logrando su entrada.

Será interesante ver si otro ransomware comienza a usar kits de exploits como vectores de infección como Maze. O tal vez esta práctica sigue siendo la excepción a la regla.