Los operadores de Maze Ransomware intensifican su juego



Las investigaciones muestran que los operadores de ransomware Maze no dejan «nada al azar» cuando presionan a las víctimas para que paguen.

El ransomware Maze fue noticia cuando se dirigió a la firma de servicios de TI Cognizant en abril. Los expertos en respuesta a incidentes que investigaron este y los ataques anteriores de Maze informan nuevas strategies sobre tácticas de ransomware que podrían dificultar la defensa de las empresas.

Al trabajar con un cliente, los expertos en respuesta a incidentes de Kroll obtuvieron acceso a una discusión con los operadores de ransomware Maze que revelaron algunos de los mecanismos internos del grupo. Esto, combinado con un nuevo archivo de preguntas frecuentes que Maze publicó en su sitio website «vergonzoso», da a los analistas la impresión de que los operadores de Maze «no dejan nada al azar» cuando presionan a las organizaciones de víctimas para que paguen rápidamente.

Laurie Iacono, vicepresidenta del equipo de riesgo cibernético de Kroll, comenzó a investigar Maze a fines de 2019 cuando lanzó el sitio web vergonzoso. «Ya en enero de 2020, realmente comenzaron a centrarse en ese sitio vergonzoso, y fueron los primeros en poner un sitio vergonzoso como ese», explica. El propósito del sitio website period compartir los nombres de las víctimas y los datos robados. Cuanto más demoren las empresas en pagar el rescate de Maze, más información publicará el grupo.

«Tienes tanto tiempo para pagar el rescate o ingresas al sitio», dice Iacono. A medida que continuó revisando el sitio a principios de 2020, notó cambios frecuentes para hacerlo más fácil de usar. Maze lo utilizó como plataforma para compartir quiénes eran sus víctimas, así como para publicar comunicaciones grupales. «Casi los estamos viendo más transparentes sobre lo que están haciendo, lo cual es interesante ver en el mundo del operador de ransomware», agrega.

Aún así, esto no significa que el grupo se apegará a sus declaraciones. A mediados de marzo, cuando el coronavirus comenzó a aumentar en los Estados Unidos, los operadores de Maze emitieron un comunicado alegando que no iban a atacar a las organizaciones de atención médica en medio de la pandemia. Otros grupos de ransomware hicieron lo mismo. Pero casi al mismo tiempo que Maze hizo esta promesa, el grupo estaba en el proceso de extorsionar dinero de Hammersmith Medications Investigation, un centro de investigación del Reino Unido.

Otros grupos de ransomware han tomado nota del sitio vergonzoso de Maze y lanzaron el suyo a principios de este año, dice Iacono, señalando a Sodinokibi y DoppelPaymer como ejemplos. Los otros grupos publican con menos frecuencia, señala, pero su técnica es very similar a la de Maze. Ella cree que la principal motivación es alentar pagos más rápidos, lo que no siempre es fácil dadas las demandas de los atacantes: el rescate inicial de Maze exige casi $ 2.3 millones, Kroll informa, citando datos de Coveware.

En la redacción de sus hallazgos, los expertos de Kroll aconsejan a las empresas que presten atención a los reclamos de Maze y amenazaron con represalias por negarse a pagar al considerar estrategias de respuesta a incidentes. No hay industria segura, dicen, y Maze busca datos que causen daños a la reputación y a la regulación. Si el grupo no recibe el pago de la organización víctima, pasará a sus clientes. Un cliente de atención médica, por ejemplo, fue atacado con el ransomware Maze y descubrió que el grupo envió correos electrónicos directamente a pacientes que amenazaban con exponer su información personalized de salud.

En otro caso, Maze le dijo a una empresa hipotecaria que tenía 24 horas para pagar el rescate o que el grupo publicaría datos robados. El sistema de correo electrónico de la compañía se había caído dos semanas antes y se le dijo que el virus tenía la culpa en retrospectiva, creía que su servidor fue golpeado con ransomware. Kroll también trabajó con un corredor de seguros que fue alertado de la falla del servidor Una investigación mostró que los atacantes habían iniciado sesión en el servidor con privilegios elevados utilizando las credenciales de COO. Dos días después, los archivos de la aseguradora fueron encriptados y recibió una nota de rescate.

«Tienden a utilizar todo tipo de formas de comprometer los sistemas», dice Iacono. Maze tiende a usar vulnerabilidades conocidas como Pulse VPN CVE-2019-11510 para entrar. Una vez dentro, descarga desde 100GB a 1TB de datos, con un enfoque en datos privados o sensibles que pueden usarse para acciones regulatorias, demandas, o presión para pagar. El grupo afirma que las credenciales tomadas de las víctimas que no pagan se utilizarán para atacar a sus socios y clientes.

Es difícil defenderse de Maze porque el grupo united states muchas de las mismas herramientas legítimas que usan las empresas. Las organizaciones no siempre pueden hacer una declaración standard y bloquear ciertas herramientas para protegerse contra el grupo, porque podría ser algo que usarían en sus negocios cotidianos. Kroll señala que Maze utiliza herramientas como Mimikatz y Superior IP Scanner para facilitar el movimiento lateral.

Consejos para bloquear atacantes avanzados
Una nueva preocupación para las organizaciones es que los operadores de Maze han comprimido su proceso de toma de decisiones. En el pasado, las empresas tenían más handle sobre cómo y cuándo compartir los detalles de una violación ahora, los atacantes pueden comunicarse con los medios o clientes antes de que tengan la oportunidad de responder.

«Esta no es una persona promedio», dice Keith Wojcieszek, director gerente de la práctica de riesgo cibernético de Kroll. «Estos atacantes son muy sofisticados, muy educados». Cuidarse desde el principio es «extremadamente importante» para trazar una defensa sólida. Los sistemas de parches son esenciales.

«Es una de las cosas más importantes, especialmente para el ransomware, porque están buscando estas vulnerabilidades», dice Wojcieszek sobre los operadores de Maze. Él aconseja hacer copias de seguridad de datos fuera de línea, que son más difíciles de obtener para los adversarios, y adoptar la autenticación multifactor.

Las compañías que dependen de proveedores de servicios administrados (MSP) también deben considerar cómo sus socios administran su pink y aseguran sus conexiones, continúa. Si el ransomware ingresa a un MSP y se dirige a su crimson y clientes, querrá saber si se mantiene actualizado con la administración de parches.

Si un ataque tiene éxito, las organizaciones deben estar preparadas para responder rápidamente. Wojcieszek aconseja construir sus planes de respuesta a incidentes con políticas específicas de ransomware y determinar su postura sobre el pago del rescate.

Contenido relacionado:

Kelly Sheridan es la Editora de individual de Dim Looking at, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia initial