Passa al contenuto principale

Ransomware Maze: significato e definizione

Il ransomware Maze è una variante sofisticata di ransomware Windows che prende di mira organizzazioni di vari settori in tutto il mondo. Come accade con altre forme di ransomware, Maze richiede un pagamento in criptovaluta in cambio del recupero dei dati criptati.

Se le vittime di ransomware Maze si rifiutano di pagare, i criminali minacciano di far trapelare i loro dati riservati. Questo comportamento trova crescente riscontro in nuove forme di ransomware come REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop e altri.

Cos'è il ransomware Maze?

Sviluppato come variante del ransomware ChaCha, Maze è stato rilevato per la prima volta a maggio 2019. Da dicembre 2019, Maze si è dato molto da fare prendendo di mira vittime in numerosi settori.

Come funziona il ransomware Maze?

Maze è tipicamente distribuito attraverso:

  1. E-mail di spam, spesso sfruttando collegamenti o allegati dannosi (principalmente file Word o Excel)
  2. Attacchi di forza bruta RDP
  3. Kit di exploit

In alcuni casi, l'attacco può provenire da un cliente o un partner di un'organizzazione già caduto vittima degli hacker. Una volta che Maze ottiene l'accesso a una rete, gli hacker cercano di ottenere privilegi elevati in modo da distribuire il criptaggio dei file su tutte le unità. Maze è particolarmente pericoloso perché ruba anche i dati che trova e li esfiltra su server controllati da hacker intenzionati a minacciare di rilasciarli se non viene pagato un riscatto.

Le organizzazioni potrebbero essere in grado di ripristinare i propri dati da un backup sicuro per tornare operative (se il backup stesso non è stato compromesso), ma ciò non risolve il problema che i criminali ora possiedono una copia dei dati dell'organizzazione. In sostanza, Maze è una combinazione di attacco ransomware e di violazione dei dati.

Sito Web del ransomware Maze

I creatori di Maze gestiscono un sito Web in cui elencano le loro vittime (da loro chiamati "clienti"). Qui pubblicano spesso campioni di dati rubati come forma di punizione. Il sito Web include dettagli su quando le vittime sono state colpite dal ransomware Maze, nonché collegamenti a download di dati e documenti rubati come "prova". In modo provocatorio, il sito Web presenta l'ironico slogan "Keeping the world safe" ("Teniamo al sicuro il mondo") e include anche pulsanti di condivisione sui social per diffondere i dettagli delle violazioni dei dati.

Dal sito Web del ransomware Maze gli hacker avvertono le vittime che, qualora il riscatto non venisse pagato:

  • Pubblicheranno i dettagli delle violazioni alla sicurezza e informeranno i media
  • Venderanno sul Dark Web qualsiasi informazione rubata che abbia un valore commerciale
  • Informeranno le Borse pertinenti dell'attacco e della perdita di informazioni sensibili per ridurre il valore azionario dell'azienda colpita
  • Utilizzeranno le informazioni rubate per attaccare clienti e partner e informarli che l'azienda è stata violata

Si ritiene che Maze operi attraverso una rete affiliata, in cui gli sviluppatori condividono i proventi con i vari gruppi che utilizzano Maze in reti organizzative.

Nel 2020, i criminali dietro Maze hanno collaborato con altri due gruppi di criminali informatici, LockBit e RagnarLocker, formando essenzialmente un cartello di ransomware. I criminali hanno unito i loro sforzi e i dati da loro rubati sono stati pubblicati sul sito Web di Maze. A seguito di questa collaborazione, Maze ha iniziato a usare tecniche in precedenza impiegate solo da RagnarLocker.

È la fine per il ransomware Maze?

Alla fine del 2020, il gruppo ransomware Maze ne ha annunciato la chiusura con una dichiarazione sconclusionata. Non avrebbero più aggiornato il sito Web e le vittime che volevano rimuovere i propri dati potevano contattare la loro "chat di supporto".

Il gruppo ha affermato di avere avviato gli attacchi per aumentare la consapevolezza sulla sicurezza informatica. Allo stesso tempo, ha affermato in modo confuso che il gruppo non è mai esistito veramente, se non nella fantasia dei giornalisti che ne avevano scritto.

Ha poi affermato di aver avuto accesso ai sistemi IT dell'amministrazione dello stato di New York e di diversi provider di servizi Internet (ISP), scegliendo però di non attaccarli.

Le affermazioni per cui il gruppo sia stato sciolto andrebbero prese con le pinze. In passato, gli hacker del ransomware GandCrab hanno annunciato che avrebbero interrotto le attività, per poi riemergere con REvil/Sodinokibi. Sono state osservate somiglianze tra Maze e due nuove varianti di ransomware noti come Egregor e Sekhmet, il che induce a pensare che il gruppo si stia semplicemente orientando verso una nuova ondata di attacchi informatici.

Attacco ransomware a Cognizant

Attacchi ransomware Maze: esempi

Esempi degni di nota di vittime del ransomware Maze includono:

Attacco ransomware Maze a Cognizant

Uno degli attacchi ransomware Maze di più alto profilo ha preso di mira Cognizant, una società Fortune 500 e uno dei maggiori fornitori di servizi IT al mondo.

Nell'aprile 2020 Cognizant è stata attaccata dal gruppo ransomware Maze, che ha causato l'interruzione dei servizi ai clienti. L'attacco ha criptato e disabilitato alcuni dei sistemi interni e ha costretto l'azienda a portare altri sistemi offline.

L'attacco è avvenuto mentre era in corso la pandemia di Covid-19, quando il personale stava tentando di lavorare a distanza. Interrompendo i sistemi di computer che supportano l'infrastruttura desktop virtuale, la capacità di lavoro dei dipendenti è stata compromessa. Le directory interne sono state eliminate, rendendo più difficile per il personale comunicare internamente e per i team di vendita comunicare con i clienti esistenti e potenziali. In alcuni casi, l'accesso all'e-mail è andato perso.

Alcuni dei clienti di Cognizant hanno scelto di proteggersi dal malware escludendo Cognizant dall'accesso alle proprie reti, sospendendo di fatto i progetti in corso. Cognizant si è rivolta a specialisti di cybersecurity per fornire assistenza ai team interni di sicurezza IT. L'attacco ransomware a Cognizant è stato segnalato anche alle forze dell'ordine e sono stati forniti aggiornamenti costanti ai clienti di Cognizant.

Nel notificare la violazione dei dati, Cognizant ha avvertito che potevano essere state rubate informazioni personali sensibili come numeri di previdenza sociale, ID fiscali, informazioni finanziarie, patenti di guida e passaporti. I dipendenti che avevano carte di credito aziendali sono stati avvertiti che probabilmente erano stati esposti all'attacco. Alle persone colpite, Cognizant ha fornito un anno gratuito di monitoraggio del furto di identità e del Dark Web.

Si stima che l'attacco ransomware Maze a Cognizant sia costato immediatamente all'azienda tra 50 e 70 milioni di dollari, con ulteriori costi sostenuti successivamente per ripristinare completamente i sistemi informatici.

I clienti di Cognizant includono le società di servizi finanziari ING e Standard Life, la società automobilistica Mitsubishi Motors e la società di servizi HR PeopleSoft. L'azienda non ha rivelato quali clienti siano stati colpiti dall'attacco.

Attacco ransomware Maze a Canon

Nell'agosto 2020 è stato riferito che Canon è caduta vittima di un attacco ransomware Maze. Gli hacker hanno esfiltrato fino a 10 TB di dati, e il caso ha interessato circa 25 diversi domini Canon e una serie di sue applicazioni interne, inclusi i servizi di collaborazione e di e-mail.

L'attacco ransomware Maze ha colpito gli utenti del servizio di archiviazione gratuito da 10 GB. Canon ha riconosciuto che tutti i dati o le immagini salvati prima del 16 giugno 2020 sono andati persi, ma ha affermato che non vi sono state perdite di dati relativi alle immagini. Sebbene le foto non fossero accessibili, le anteprime delle immagini compromesse potevano ancora essere visualizzate online. Ma facendo clic su una qualsiasi delle anteprime, il sito Web restituiva un errore.

Attacco ransomware Maze a Xerox

Nel luglio 2020, gli hacker del ransomware Maze hanno affermato di avere violato i sistemi di Xerox e hanno minacciato di far trapelare enormi quantità di dati a meno di non ricevere un pagamento. Il gruppo ha pubblicato una serie di 10 screenshot sul proprio sito Web come prova della violazione. Questi screenshot indicavano che la banda aveva rubato dati relativi a operazioni di assistenza clienti.

Attacco ransomware Maze alla città di Pensacola

La città di Pensacola in Florida è stata attaccata alla fine del 2019. Il gruppo di ransomware Maze ha minacciato di far trapelare i dati, a meno che non venisse pagato un riscatto di 1 milione di dollari. Secondo quanto riferito, il gruppo aveva rubato più di 32 GB di dati dai sistemi infetti della città. Ne ha fatti trapelare 2 GB come prova dell'attacco.

A seguito dell'attacco ransomware Maze, i servizi di pagamento online di Pensacola Energy e del City of Pensacola Sanitation Services sono stati interrotti. Fortunatamente per i residenti, altri servizi come la polizia e i vigili del fuoco non sono stati interessati.

È meglio pagare il riscatto per gli attacchi di ransomware Maze?

Non è consigliabile farlo. Più persone pagano il riscatto, più è probabile che i criminali lancino attacchi simili in futuro.

Detto questo, alcune aziende potrebbero ritenere la propria sopravvivenza a rischio, a meno di non pagare. La risposta non è facile e, in definitiva, è una decisione che ogni organizzazione deve prendere in base alle circostanze. Qualunque sia la decisione, sarebbe opportuno coinvolgere le forze dell'ordine e lavorare a stretto contatto con loro per provare a risalire a chi si cela dietro gli attacchi.

Indipendentemente dal fatto che le organizzazioni paghino, è fondamentale comprendere i problemi di sicurezza che hanno condotto all'attacco in primo luogo. Le organizzazioni dovrebbero scoprire cosa è andato storto e come procedere per prevenire gli attacchi dei cybercriminali in futuro.

In risposta all'approccio del malware Maze, l'FBI consiglia alle aziende di prendere in considerazione la creazione proattiva di cache di dati fittizi. Queste raccolte di dati falsi hanno lo scopo di rendere più difficile per gli aggressori rubare file veramente importanti durante un attacco.

Come proteggersi dal ransomware Maze

Il ransomware è in continua evoluzione. La migliore difesa è la prevenzione proattiva perché una volta che i dati sono stati criptati da malware o hacker, spesso è troppo tardi per recuperarli.

Ecco alcuni suggerimenti per aiutare a prevenire gli attacchi ransomware:

1. Mantieni aggiornati i software e i sistemi operativi

Mantenere aggiornati software e sistemi operativi ti aiuterà a proteggerti dal malware. Applica patch e aggiornamenti per software come Microsoft Office, Java, Adobe Reader, Adobe Flash e browser Internet come Internet Explorer, Chrome, Firefox, Opera e altri, inclusi i relativi plug-in. Quando esegui un aggiornamento, ottieni le ultime patch di sicurezza, rendendo più difficile per i criminali informatici sfruttare le vulnerabilità del software.

2. Utilizza software di protezione

Con la crescente diffusione dei crimini informatici, la protezione dal ransomware è più che mai di fondamentale importanza. Proteggi i computer dal ransomware con una soluzione di sicurezza Internet completa come Kaspersky Internet Security. Durante il download o lo streaming, il software blocca i file infetti, impedendo al ransomware di infettare il computer e tenendo alla larga i cybercriminali.

3. Utilizza una VPN per accedere alla rete

Utilizza una VPN per accedere alla rete invece di esporre il protocollo RDP (Remote Desktop Protocol) a Internet. Kaspersky Secure Connection fornisce privacy online e accesso a contenuti globali.

4. Dati di backup

Esegui regolarmente il backup dei dati in una posizione remota e sicura in modo da poter ripristinare i dati rubati in caso di attacco. Un modo semplice per farlo è abilitare i backup automatici invece di affidarsi all'iniziativa di un utente incaricato di ricordarsene. I backup dovrebbero essere testati regolarmente per garantire che i dati vengano salvati.

5. Educa e informa il personale sui rischi per la cybersecurity

Le organizzazioni dovrebbero garantire che il personale sia informato sui metodi utilizzati dai criminali informatici per infiltrarsi elettronicamente nelle organizzazioni. Forma tutti i dipendenti sulle best practice di sicurezza informatica. Ad esempio:

  • Evita di fare clic sui collegamenti presenti nelle e-mail di spam o all'interno di siti Web sconosciuti. I download avviati facendo clic su collegamenti dannosi sono un modo in cui i computer potrebbero essere infettati.
  • Evita di scaricare software o file multimediali da siti Web sconosciuti.
  • Evita di aprire allegati e-mail da mittenti di cui non ti fidi. Controlla accuratamente l'origine del messaggio di posta elettronica e verifica che l'indirizzo e-mail sia corretto. Prima di aprire un allegato, valutane attentamente l'autenticità. Se non sei sicuro, contatta la persona che pensi l'abbia inviato e ricontrolla.
  • Se ricevi una chiamata, un messaggio di testo o un'e-mail da una fonte non attendibile che richiede informazioni personali, non fornirle in alcun modo.
  • Utilizza solo tecnologie sicure per la connessione remota nella rete locale di un'azienda.
  • Utilizza una soluzione di sicurezza endpoint con il rilevamento del comportamento e il rollback automatico dei file, come Kaspersky Endpoint Security for Business.
  • Utilizza password univoche e difficili da decifrare per proteggere dati e account sensibili, e abilita l'autenticazione a più fattori.
  • Cripta i dati sensibili quando possibile.

Indipendentemente dal fatto che il gruppo di ransomware Maze si sciolga o si trasformi semplicemente in un altro gruppo criminale, le minacce ransomware continueranno. Come sempre, è necessaria la massima vigilanza per stare al passo con la continua evoluzione delle minacce informatiche.

Articoli correlati:

Cos'è il ransomware Maze? Definizione e spiegazione

Cos'è il ransomware Maze? Il malware Maze estorce criptovaluta in cambio di dati rubati, minacciando di far trapelare i dati se le vittime si rifiutassero pagare.
Kaspersky Logo