Qu'est-ce que le rançongiciel Maze ?

Le rançongiciel Maze chiffre et vole des données confidentielles, ce qui pousse encore plus ses victimes à payer la rançon.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le fonctionnement du rançongiciel Maze
  • Décrivez comment Maze chiffre et exfiltre les données.
  • Comment prévenir les attaques par rançongiciel de type Maze ?

Copier le lien de l'article

Qu'est-ce que le rançongiciel Maze ?

Maze est une souche du rançongiciel* qui a eu un impact sur les organisations depuis 2019. Bien qu'un groupe principal ait créé Maze, de multiples attaquants l'ont utilisé à des fins d'extorsion.

En plus de chiffrer les données, la plupart des opérateurs de Maze copient également les données qu'ils chiffrent et menacent de les divulguer si la rançon n'est pas payée. Une infection par le rançongiciel Maze combine les effets négatifs du rançongiciel (perte de données, baisse de productivité) avec ceux d'une violation de données (fuites de données, violations de la vie privée ), ce qui le rend particulièrement préoccupant pour les entreprises.

*Un rançongiciel est un logiciel malveillant qui verrouille les fichiers et les données en les cryptant. Les victimes sont informées qu'elles ne pourront récupérer leurs fichiers et leurs données que si elles paient une rançon à l'attaquant.

Comment fonctionne l'attaque du rançongiciel Maze ?

Lorsque le rançongiciel Maze est apparu, il était principalement distribué par le biais de pièces jointes d'e-mails malveillants. Des attaques plus récentes utilisent d'autres méthodes pour compromettre un réseau avant de déposer la charge utile du rançongiciel. Par exemple, de nombreuses attaques du rançongiciel Maze ont utilisé des informations d'identification (combinaisons de noms d'utilisateur et de mots de passe) RDP (Remote Desktop Protocol) volées ou devinées pour infiltrer un réseau. D'autres attaques ont commencé par compromettre un serveur de réseau privé virtuel (VPN) vulnérable.

Une fois que Maze a été introduit dans un réseau, il effectue les étapes suivantes :

  1. Reconnaissance : Maze étudie les vulnérabilités du réseau et identifie autant de machines connectées que possible, ce qui permet de s'assurer que l'éventuelle activation du rançongiciel a un impact maximal. Entre autres, Maze analyse Active Directory, un programme Windows qui répertorie tous les utilisateurs et ordinateurs autorisés sur un réseau. Le processus de reconnaissance s'achève généralement plusieurs jours après l'infiltration des attaquants dans le réseau ciblé.
  2. Mouvement latéral : Maze utilise les informations obtenues lors de la reconnaissance pour se propager sur le réseau et infecter autant d'appareils que possible.
  3. Escalade de privilèges : à mesure que Maze se déplace latéralement, il vole davantage d'informations d'identification, ce qui lui permet de se propager à d'autres machines. Il finit généralement par obtenir des informations d'identification d'administrateur, qui lui permettent de contrôler l'ensemble du réseau.
  4. Persistance : Maze utilise un certain nombre de techniques pour résister à la suppression. Par exemple, il peut installer des portes dérobées (moyens cachés de contourner les mesures de sécurité) dans le réseau afin de pouvoir être réinstallé s'il est découvert et supprimé.
  5. Attaque : enfin, Maze commence le processus de chiffrement et d'exfiltration des données. Une fois les données cryptées, Maze affiche ou envoie un avis de rançon indiquant à la victime comment effectuer le paiement, déverrouiller ses données et empêcher une fuite de données.

Comment Maze exfiltre-t-il les données ?

« Exfiltrer » signifie déplacer des données hors d'une zone de confiance sans autorisation. En général, Maze exfiltre des données en se connectant à un serveur FTP (File Transfer Protocol) et en copiant des fichiers et des données sur ce serveur en plus de les chiffrer. Les attaquants ont utilisé les utilitaires PowerShell et WinSCP pour effectuer ces actions.

Dans certains cas, les données exfiltrées ont été transférées vers un service de partage de fichiers dans le cloud plutôt que directement vers un serveur FTP.

Qu'est-ce que le site Web Maze ?

Pendant plusieurs années, le groupe de rançongiciel à l'origine de Maze a exploité un site Web sur le dark Web. Il y publiait des données et des documents volés comme preuve de ses attaques passées et incluait des liens vers les médias sociaux pour partager les données volées.

Dans un message publié sur son site Web en novembre 2020, le groupe Maze a affirmé qu'il mettait fin à ses activités. Cependant, comme c'est souvent le cas avec les groupes de rançongiciel, il se peut qu'il soit encore actif sous un autre nom.

Qu'est-ce que l'attaque par rançongiciel Cognizant Maze ?

L'attaque par rançongiciel Cognizant Maze est un incident majeur qui a eu lieu en avril 2020. Cognizant est un fournisseur de services informatiques pour des entreprises du monde entier. L'attaque a compromis le réseau de Cognizant et a également entraîné le vol de données confidentielles appartenant à ses clients (Cognizant n'a pas révélé lesquels de ses clients ont été touchés par l'attaque). Il a fallu plusieurs semaines à Cognizant pour rétablir complètement ses services, ce qui a ralenti ou arrêté les processus commerciaux de nombre de ses clients pendant cette période.

Cognizant a estimé les pertes dues à l'attaque à 50 à 70 millions $.

Quelles ont été les autres attaques majeures de Maze ?

  • Pensacola, Floride, États-Unis : La ville de Pensacola a été victime de Maze en 2019. Les attaquants ont fait fuiter 2 Go de données de Pensacola comme preuve de l'attaque.
  • Canon : Maze a infecté l'entreprise de matériel photographique Canon en 2020. Les attaquants ont exfiltré 10 To de données. De nombreux utilisateurs du service de stockage gratuit de Canon ont perdu définitivement leurs données à la suite de l'attaque.
  • Xerox : Maze a compromis les systèmes de Xerox en 2020, en dérobant 100 Go de données.
  • LG Electronics : en 2020, Maze a volé et divulgué des données du code source de LG.

Parmi les autres victimes de Maze figurent WorldNet Telecommunications, Columbus Metro Federal Credit Union, l'American Osteopathic Association et VT San Antonio Aerospace.

Comment prévenir le rançongiciel Maze

Ces mesures peuvent atténuer considérablement la probabilité d'une attaque de rançongiciel Maze :

  • Évitez d'utiliser les informations d'identification par défaut : les attaques de type « Maze » ont utilisé la compromission des informations d'identification pour infiltrer un réseau. Les noms d'utilisateur et les mots de passe par défaut sont généralement bien connus dans le milieu criminel, et donc très peu sûrs.
  • Utilisez l'authentification à deux facteurs (2FA) : 2FA signifie utiliser plus qu'un nom d'utilisateur et un mot de passe pour authentifier un utilisateur avant de lui accorder l'accès à une application, par exemple en exigeant l'utilisation d'un jeton matériel que les attaquants ne peuvent pas voler ou dupliquer.
  • Sécurité des e-mails : filtrez les pièces jointes malveillantes et formez les utilisateurs à ignorer les e-mails inattendus et les pièces jointes non fiables.
  • Mettez à jour vos systèmes : les mises à jour logicielles peuvent corriger certaines des vulnérabilités que Maze utilise généralement pour compromettre les serveurs et les réseaux.
  • Analyse anti-logiciels malveillants : si une infection par Maze se produit, il est crucial de la détecter et de la supprimer des appareils infectés le plus rapidement possible. Un programme anti-logiciels malveillants peut détecter la plupart des formes de Maze sur un appareil. Les appareils infectés doivent être isolés immédiatement du reste du réseau.
  • Sécurité Zero Trust : un modèle de sécurité Zero Trust permet d'éviter les mouvements latéraux au sein d'un réseau en revérifiant régulièrement les utilisateurs et les appareils, et en restreignant immédiatement l'accès des appareils infectés par des logiciels malveillants. En savoir plus sur Réseaux Zero Trust.

Cloudflare One est une plateforme de réseau en tant que service (NaaS) Zero Trust qui connecte en toute sécurité les utilisateurs distants, les bureaux et les datacenters. En savoir plus sur Cloudflare One et sur la façon dont il contrecarre les attaques de rançongiciel.

Service commercial