¿Qué es el ransomware Maze?

El ransomware Maze encripta y roba datos confidenciales, presionando todavía más a sus víctimas para que paguen el rescate.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir cómo funciona el ransomware Maze
  • Describir cómo Maze encripta y exfiltra los datos
  • Más información sobre cómo prevenir los ataques del ransomware Maze

Copiar enlace del artículo

¿Qué es el ransomware Maze?

Maze es un tipo de ransomware* que ha estado afectando a organizaciones desde 2019. Aunque fue un grupo principal el que creó Maze, múltiples atacantes lo han utilizado para extorsionar.

Además de encriptar los datos, la mayoría de los operadores de Maze también copian los datos que encriptan y amenazan con filtrarlos a menos que se pague el rescate. Una infección del ransomware Maze combina los efectos negativos del ransomware (pérdida de datos, reducción de la productividad) con los de una fuga de datos (filtración de datos, vulneraciones de privacidad), por lo que es especialmente preocupante para las empresas.

*El ransomware es malware que bloquea archivos y datos encriptándolos. A las víctimas se les dice que solo recuperarán sus datos y archivos si pagan un rescate al atacante.

¿Cómo funciona un ataque del ransomware Maze?

Cuando el ransomware Maze apareció por primera vez, se distribuía sobre todo a través de archivos adjuntos maliciosos por correo electrónico. Los ataques más recientes usan otros métodos para poner en peligro una red antes de soltar la carga dañina del ransomware. Por ejemplo, muchos ataques del ransomware Maze han utilizado credenciales robadas o que han adivinado del Protocolo de escritorio remoto (RDP) (combinaciones de nombre de usuario y contraseña) para infiltrarse en una red. Otros ataques empezaron poniendo en peligro un servidor de red privada virtual (VPN) vulnerable.

Una vez que Maze está dentro de una red, sigue los siguientes pasos:

  1. Reconocimiento: Maze investiga las vulnerabilidades de la red e identifica el mayor número posible de máquinas conectadas, lo cual ayuda a garantizar que la eventual activación del ransomware tenga el máximo impacto. Entre otras cosas, Maze escanea el Directorio activo, un programa de Windows que enumera todos los usuarios y ordenadores autorizados en una red. El proceso de reconocimiento se suele completar varios días después de que los atacantes se hayan infiltrado en la red objetivo.
  2. Movimiento lateral: Maze usa la información obtenida durante el reconocimiento para extenderse por la red, infectando el mayor número posible de dispositivos.
  3. Escalada de privilegios: a medida que Maze se mueve lateralmente, roba más credenciales, lo cual le permite extenderse a más máquinas. Al final, suele adquirir las credenciales de administrador, que le dan el control de toda la red.
  4. Persistencia: Maze utiliza una serie de técnicas para que no pueda ser borrado. Por ejemplo, puede instalar puertas traseras (formas ocultas de eludir las medidas de seguridad) en la red para poder volver a instalarse si se descubre y es borrado.
  5. Ataque: finalmente, Maze empieza con el proceso de encriptación y exfiltración de datos. Una vez que se han encriptado los datos, Maze muestra o envía una nota de rescate en la que se indica a la víctima cómo realizar el pago, desbloquear sus datos y evitar una filtración de datos.

¿Cómo exfiltra Maze los datos?

" Exfiltrar" significa mover datos fuera de una zona de confianza sin autorización. Normalmente, Maze exfiltra datos al conectarse con un servidor de protocolo de transferencia de archivos (FTP), y copiar los archivos y datos a este servidor, además de encriptarlos. Los atacantes usan las herramientas PowerShell y WinSCP para llevar a cabo todo esto.

En algunos casos, los datos exfiltrados se transfieren a un servicio de intercambio de archivos en la nube en lugar de directamente a un servidor FTP.

¿Cuál es el sitio web de Maze?

Durante varios años, el grupo de ransomware que creó Maze contaba con un sitio web en la dark web. Publicaban datos y documentos robados en el sitio web como prueba de sus ataques anteriores, e incluían enlaces de redes sociales para compartir los datos robados.

En una publicación en su sitio web en noviembre de 2020, el grupo de Maze afirmó que finalizaban su actividad. Sin embargo, como suele ocurrir con los grupos de ransomware, puede que sigan activos con otro nombre.

¿Qué fue el ataque de ransomware de Cognizant Maze?

El ataque de ransomware de Cognizant Maze fue un incidente importante que tuvo lugar en abril de 2020. Cognizant es un proveedor de servicios informáticos para empresas de todo el mundo. El ataque puso en peligro la red de Cognizant y puede que también se haya producido el robo de datos confidenciales pertenecientes a sus clientes (Cognizant no reveló qué clientes se vieron afectados por el ataque). Cognizant tardó varias semanas en restablecer completamente sus servicios, lo cual ralentizó o detuvo los procesos empresariales de muchos de sus clientes durante ese tiempo.

Cognizant estimó que el ataque supuso unas pérdidas de entre 50 y 70 millones de dólares.

¿Qué otros ataques importantes de Maze se han producido?

  • Pensacola, Florida, EE. UU.: la ciudad de Pensacola fue atacada por Maze en 2019. Los atacantes filtraron 2 GB de datos de Pensacola como prueba del ataque.
  • Canon: Maze infectó a Canon, la empresa de equipos de imagen, en 2020. Los atacantes exfiltraron 10 TB de datos. Muchos usuarios del servicio de almacenamiento gratuito de Canon perdieron permanentemente sus datos como resultado del ataque.
  • Xerox: Maze puso en peligro los sistemas de Xerox en 2020, al robarles 100 GB de datos.
  • LG Electronics: en 2020, Maze robó y filtró datos del código fuente de LG.

Entre otras víctimas de Maze se incluyen WorldNet Telecommunications, Columbus Metro Federal Credit Union, la American Osteopathic Association y VT San Antonio Aerospace.

Cómo prevenir el ransomware Maze

Estos pasos pueden hacer que un ataque del ransomware Maze sea menos probable:

  • Evitar el uso credenciales por defecto: los ataques de Maze han utilizado credenciales afectadas para infiltrarse en una red. Los nombres de usuario y contraseñas por defecto suelen ser bien conocidos en el mundo de la delincuencia, y por tanto no son seguros.
  • Usar la autenticación de dos factores (2FA): 2FA significa utilizar algo más que un nombre de usuario y una contraseña para autenticar a un usuario antes de concederle acceso a una aplicación; por ejemplo, pedirle el uso de un token de hardware que los atacantes no pueden robar o duplicar.
  • Seguridad en el correo electrónico: filtrar los adjuntos maliciosos del correo electrónico, y enseñar a los usuarios a que ignoren los correos electrónicos inesperados y los archivos adjuntos que no sean de confianza.
  • Actualizar los sistemas: las actualizaciones de software pueden solucionar algunas de las vulnerabilidades que suele usar Maze para poner en peligro servidores y redes.
  • Escaneado con antimalware: si se produce una infección de Maze, es fundamental detectarla y eliminarla de los dispositivos infectados lo antes posible. El antimalware puede detectar la mayoría de las formas de Maze en un dispositivo. Los dispositivos infectados deben ser aislados inmediatamente del resto de la red.
  • Seguridad de Zero Trust: un modelo de seguridad de Zero Trust ayuda a prevenir el movimiento lateral dentro de una red, al volver a verificar de forma regular tanto a los usuarios como a los dispositivos, y al restringir inmediatamente el acceso a los dispositivos infectados con malware. Más información sobre las Redes de Zero Trust.

Cloudflare One es una plataforma de red como servicio (NaaS) de Zero Trust que conecta de forma segura a usuarios en remoto, oficinas y centros de datos. Más información sobre Cloudflare One y cómo contrarresta los ataques de ransomware.

Ventas