Il ransomware Maze è una variante sofisticata di ransomware Windows che prende di mira organizzazioni di vari settori in tutto il mondo. Come accade con altre forme di ransomware, Maze richiede un pagamento in criptovaluta in cambio del recupero dei dati criptati.
Se le vittime di ransomware Maze si rifiutano di pagare, i criminali minacciano di far trapelare i loro dati riservati. Questo comportamento trova crescente riscontro in nuove forme di ransomware come REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop e altri.
Sviluppato come variante del ransomware ChaCha, Maze è stato rilevato per la prima volta a maggio 2019. Da dicembre 2019, Maze si è dato molto da fare prendendo di mira vittime in numerosi settori.
In alcuni casi, l'attacco può provenire da un cliente o un partner di un'organizzazione già caduto vittima degli hacker. Una volta che Maze ottiene l'accesso a una rete, gli hacker cercano di ottenere privilegi elevati in modo da distribuire il criptaggio dei file su tutte le unità. Maze è particolarmente pericoloso perché ruba anche i dati che trova e li esfiltra su server controllati da hacker intenzionati a minacciare di rilasciarli se non viene pagato un riscatto.
Le organizzazioni potrebbero essere in grado di ripristinare i propri dati da un backup sicuro per tornare operative (se il backup stesso non è stato compromesso), ma ciò non risolve il problema che i criminali ora possiedono una copia dei dati dell'organizzazione. In sostanza, Maze è una combinazione di attacco ransomware e di violazione dei dati.
I creatori di Maze gestiscono un sito Web in cui elencano le loro vittime (da loro chiamati "clienti"). Qui pubblicano spesso campioni di dati rubati come forma di punizione. Il sito Web include dettagli su quando le vittime sono state colpite dal ransomware Maze, nonché collegamenti a download di dati e documenti rubati come "prova". In modo provocatorio, il sito Web presenta l'ironico slogan "Keeping the world safe" ("Teniamo al sicuro il mondo") e include anche pulsanti di condivisione sui social per diffondere i dettagli delle violazioni dei dati.
Dal sito Web del ransomware Maze gli hacker avvertono le vittime che, qualora il riscatto non venisse pagato:
Si ritiene che Maze operi attraverso una rete affiliata, in cui gli sviluppatori condividono i proventi con i vari gruppi che utilizzano Maze in reti organizzative.
Nel 2020, i criminali dietro Maze hanno collaborato con altri due gruppi di criminali informatici, LockBit e RagnarLocker, formando essenzialmente un cartello di ransomware. I criminali hanno unito i loro sforzi e i dati da loro rubati sono stati pubblicati sul sito Web di Maze. A seguito di questa collaborazione, Maze ha iniziato a usare tecniche in precedenza impiegate solo da RagnarLocker.
Alla fine del 2020, il gruppo ransomware Maze ne ha annunciato la chiusura con una dichiarazione sconclusionata. Non avrebbero più aggiornato il sito Web e le vittime che volevano rimuovere i propri dati potevano contattare la loro "chat di supporto".
Il gruppo ha affermato di avere avviato gli attacchi per aumentare la consapevolezza sulla sicurezza informatica. Allo stesso tempo, ha affermato in modo confuso che il gruppo non è mai esistito veramente, se non nella fantasia dei giornalisti che ne avevano scritto.
Ha poi affermato di aver avuto accesso ai sistemi IT dell'amministrazione dello stato di New York e di diversi provider di servizi Internet (ISP), scegliendo però di non attaccarli.
Le affermazioni per cui il gruppo sia stato sciolto andrebbero prese con le pinze. In passato, gli hacker del ransomware GandCrab hanno annunciato che avrebbero interrotto le attività, per poi riemergere con REvil/Sodinokibi. Sono state osservate somiglianze tra Maze e due nuove varianti di ransomware noti come Egregor e Sekhmet, il che induce a pensare che il gruppo si stia semplicemente orientando verso una nuova ondata di attacchi informatici.
Esempi degni di nota di vittime del ransomware Maze includono:
Uno degli attacchi ransomware Maze di più alto profilo ha preso di mira Cognizant, una società Fortune 500 e uno dei maggiori fornitori di servizi IT al mondo.
Nell'aprile 2020 Cognizant è stata attaccata dal gruppo ransomware Maze, che ha causato l'interruzione dei servizi ai clienti. L'attacco ha criptato e disabilitato alcuni dei sistemi interni e ha costretto l'azienda a portare altri sistemi offline.
L'attacco è avvenuto mentre era in corso la pandemia di Covid-19, quando il personale stava tentando di lavorare a distanza. Interrompendo i sistemi di computer che supportano l'infrastruttura desktop virtuale, la capacità di lavoro dei dipendenti è stata compromessa. Le directory interne sono state eliminate, rendendo più difficile per il personale comunicare internamente e per i team di vendita comunicare con i clienti esistenti e potenziali. In alcuni casi, l'accesso all'e-mail è andato perso.
Alcuni dei clienti di Cognizant hanno scelto di proteggersi dal malware escludendo Cognizant dall'accesso alle proprie reti, sospendendo di fatto i progetti in corso. Cognizant si è rivolta a specialisti di cybersecurity per fornire assistenza ai team interni di sicurezza IT. L'attacco ransomware a Cognizant è stato segnalato anche alle forze dell'ordine e sono stati forniti aggiornamenti costanti ai clienti di Cognizant.
Nel notificare la violazione dei dati, Cognizant ha avvertito che potevano essere state rubate informazioni personali sensibili come numeri di previdenza sociale, ID fiscali, informazioni finanziarie, patenti di guida e passaporti. I dipendenti che avevano carte di credito aziendali sono stati avvertiti che probabilmente erano stati esposti all'attacco. Alle persone colpite, Cognizant ha fornito un anno gratuito di monitoraggio del furto di identità e del Dark Web.
Si stima che l'attacco ransomware Maze a Cognizant sia costato immediatamente all'azienda tra 50 e 70 milioni di dollari, con ulteriori costi sostenuti successivamente per ripristinare completamente i sistemi informatici.
I clienti di Cognizant includono le società di servizi finanziari ING e Standard Life, la società automobilistica Mitsubishi Motors e la società di servizi HR PeopleSoft. L'azienda non ha rivelato quali clienti siano stati colpiti dall'attacco.
Nell'agosto 2020 è stato riferito che Canon è caduta vittima di un attacco ransomware Maze. Gli hacker hanno esfiltrato fino a 10 TB di dati, e il caso ha interessato circa 25 diversi domini Canon e una serie di sue applicazioni interne, inclusi i servizi di collaborazione e di e-mail.
L'attacco ransomware Maze ha colpito gli utenti del servizio di archiviazione gratuito da 10 GB. Canon ha riconosciuto che tutti i dati o le immagini salvati prima del 16 giugno 2020 sono andati persi, ma ha affermato che non vi sono state perdite di dati relativi alle immagini. Sebbene le foto non fossero accessibili, le anteprime delle immagini compromesse potevano ancora essere visualizzate online. Ma facendo clic su una qualsiasi delle anteprime, il sito Web restituiva un errore.
Nel luglio 2020, gli hacker del ransomware Maze hanno affermato di avere violato i sistemi di Xerox e hanno minacciato di far trapelare enormi quantità di dati a meno di non ricevere un pagamento. Il gruppo ha pubblicato una serie di 10 screenshot sul proprio sito Web come prova della violazione. Questi screenshot indicavano che la banda aveva rubato dati relativi a operazioni di assistenza clienti.
La città di Pensacola in Florida è stata attaccata alla fine del 2019. Il gruppo di ransomware Maze ha minacciato di far trapelare i dati, a meno che non venisse pagato un riscatto di 1 milione di dollari. Secondo quanto riferito, il gruppo aveva rubato più di 32 GB di dati dai sistemi infetti della città. Ne ha fatti trapelare 2 GB come prova dell'attacco.
A seguito dell'attacco ransomware Maze, i servizi di pagamento online di Pensacola Energy e del City of Pensacola Sanitation Services sono stati interrotti. Fortunatamente per i residenti, altri servizi come la polizia e i vigili del fuoco non sono stati interessati.
Non è consigliabile farlo. Più persone pagano il riscatto, più è probabile che i criminali lancino attacchi simili in futuro.
Detto questo, alcune aziende potrebbero ritenere la propria sopravvivenza a rischio, a meno di non pagare. La risposta non è facile e, in definitiva, è una decisione che ogni organizzazione deve prendere in base alle circostanze. Qualunque sia la decisione, sarebbe opportuno coinvolgere le forze dell'ordine e lavorare a stretto contatto con loro per provare a risalire a chi si cela dietro gli attacchi.
Indipendentemente dal fatto che le organizzazioni paghino, è fondamentale comprendere i problemi di sicurezza che hanno condotto all'attacco in primo luogo. Le organizzazioni dovrebbero scoprire cosa è andato storto e come procedere per prevenire gli attacchi dei cybercriminali in futuro.
In risposta all'approccio del malware Maze, l'FBI consiglia alle aziende di prendere in considerazione la creazione proattiva di cache di dati fittizi. Queste raccolte di dati falsi hanno lo scopo di rendere più difficile per gli aggressori rubare file veramente importanti durante un attacco.
Il ransomware è in continua evoluzione. La migliore difesa è la prevenzione proattiva perché una volta che i dati sono stati criptati da malware o hacker, spesso è troppo tardi per recuperarli.
Ecco alcuni suggerimenti per aiutare a prevenire gli attacchi ransomware:
Mantenere aggiornati software e sistemi operativi ti aiuterà a proteggerti dal malware. Applica patch e aggiornamenti per software come Microsoft Office, Java, Adobe Reader, Adobe Flash e browser Internet come Internet Explorer, Chrome, Firefox, Opera e altri, inclusi i relativi plug-in. Quando esegui un aggiornamento, ottieni le ultime patch di sicurezza, rendendo più difficile per i criminali informatici sfruttare le vulnerabilità del software.
Con la crescente diffusione dei crimini informatici, la protezione dal ransomware è più che mai di fondamentale importanza. Proteggi i computer dal ransomware con una soluzione di sicurezza Internet completa come Kaspersky Internet Security. Durante il download o lo streaming, il software blocca i file infetti, impedendo al ransomware di infettare il computer e tenendo alla larga i cybercriminali.
Utilizza una VPN per accedere alla rete invece di esporre il protocollo RDP (Remote Desktop Protocol) a Internet. Kaspersky Secure Connection fornisce privacy online e accesso a contenuti globali.
Esegui regolarmente il backup dei dati in una posizione remota e sicura in modo da poter ripristinare i dati rubati in caso di attacco. Un modo semplice per farlo è abilitare i backup automatici invece di affidarsi all'iniziativa di un utente incaricato di ricordarsene. I backup dovrebbero essere testati regolarmente per garantire che i dati vengano salvati.
Le organizzazioni dovrebbero garantire che il personale sia informato sui metodi utilizzati dai criminali informatici per infiltrarsi elettronicamente nelle organizzazioni. Forma tutti i dipendenti sulle best practice di sicurezza informatica. Ad esempio:
Indipendentemente dal fatto che il gruppo di ransomware Maze si sciolga o si trasformi semplicemente in un altro gruppo criminale, le minacce ransomware continueranno. Come sempre, è necessaria la massima vigilanza per stare al passo con la continua evoluzione delle minacce informatiche.
Articoli correlati: