El ransomware Maze encripta y roba datos confidenciales, presionando todavía más a sus víctimas para que paguen el rescate.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Maze es un tipo de ransomware* que ha estado afectando a organizaciones desde 2019. Aunque fue un grupo principal el que creó Maze, múltiples atacantes lo han utilizado para extorsionar.
Además de encriptar los datos, la mayoría de los operadores de Maze también copian los datos que encriptan y amenazan con filtrarlos a menos que se pague el rescate. Una infección del ransomware Maze combina los efectos negativos del ransomware (pérdida de datos, reducción de la productividad) con los de una fuga de datos (filtración de datos, vulneraciones de privacidad), por lo que es especialmente preocupante para las empresas.
*El ransomware es malware que bloquea archivos y datos encriptándolos. A las víctimas se les dice que solo recuperarán sus datos y archivos si pagan un rescate al atacante.
Cuando el ransomware Maze apareció por primera vez, se distribuía sobre todo a través de archivos adjuntos maliciosos por correo electrónico. Los ataques más recientes usan otros métodos para poner en peligro una red antes de soltar la carga dañina del ransomware. Por ejemplo, muchos ataques del ransomware Maze han utilizado credenciales robadas o que han adivinado del Protocolo de escritorio remoto (RDP) (combinaciones de nombre de usuario y contraseña) para infiltrarse en una red. Otros ataques empezaron poniendo en peligro un servidor de red privada virtual (VPN) vulnerable.
Una vez que Maze está dentro de una red, sigue los siguientes pasos:
" Exfiltrar" significa mover datos fuera de una zona de confianza sin autorización. Normalmente, Maze exfiltra datos al conectarse con un servidor de protocolo de transferencia de archivos (FTP), y copiar los archivos y datos a este servidor, además de encriptarlos. Los atacantes usan las herramientas PowerShell y WinSCP para llevar a cabo todo esto.
En algunos casos, los datos exfiltrados se transfieren a un servicio de intercambio de archivos en la nube en lugar de directamente a un servidor FTP.
Durante varios años, el grupo de ransomware que creó Maze contaba con un sitio web en la dark web. Publicaban datos y documentos robados en el sitio web como prueba de sus ataques anteriores, e incluían enlaces de redes sociales para compartir los datos robados.
En una publicación en su sitio web en noviembre de 2020, el grupo de Maze afirmó que finalizaban su actividad. Sin embargo, como suele ocurrir con los grupos de ransomware, puede que sigan activos con otro nombre.
El ataque de ransomware de Cognizant Maze fue un incidente importante que tuvo lugar en abril de 2020. Cognizant es un proveedor de servicios informáticos para empresas de todo el mundo. El ataque puso en peligro la red de Cognizant y puede que también se haya producido el robo de datos confidenciales pertenecientes a sus clientes (Cognizant no reveló qué clientes se vieron afectados por el ataque). Cognizant tardó varias semanas en restablecer completamente sus servicios, lo cual ralentizó o detuvo los procesos empresariales de muchos de sus clientes durante ese tiempo.
Cognizant estimó que el ataque supuso unas pérdidas de entre 50 y 70 millones de dólares.
Entre otras víctimas de Maze se incluyen WorldNet Telecommunications, Columbus Metro Federal Credit Union, la American Osteopathic Association y VT San Antonio Aerospace.
Estos pasos pueden hacer que un ataque del ransomware Maze sea menos probable:
Cloudflare One es una plataforma de red como servicio (NaaS) de Zero Trust que conecta de forma segura a usuarios en remoto, oficinas y centros de datos. Más información sobre Cloudflare One y cómo contrarresta los ataques de ransomware.