Le rançongiciel Maze chiffre et vole des données confidentielles, ce qui pousse encore plus ses victimes à payer la rançon.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Maze est une souche du rançongiciel* qui a eu un impact sur les organisations depuis 2019. Bien qu'un groupe principal ait créé Maze, de multiples attaquants l'ont utilisé à des fins d'extorsion.
En plus de chiffrer les données, la plupart des opérateurs de Maze copient également les données qu'ils chiffrent et menacent de les divulguer si la rançon n'est pas payée. Une infection par le rançongiciel Maze combine les effets négatifs du rançongiciel (perte de données, baisse de productivité) avec ceux d'une violation de données (fuites de données, violations de la vie privée ), ce qui le rend particulièrement préoccupant pour les entreprises.
*Un rançongiciel est un logiciel malveillant qui verrouille les fichiers et les données en les cryptant. Les victimes sont informées qu'elles ne pourront récupérer leurs fichiers et leurs données que si elles paient une rançon à l'attaquant.
Lorsque le rançongiciel Maze est apparu, il était principalement distribué par le biais de pièces jointes d'e-mails malveillants. Des attaques plus récentes utilisent d'autres méthodes pour compromettre un réseau avant de déposer la charge utile du rançongiciel. Par exemple, de nombreuses attaques du rançongiciel Maze ont utilisé des informations d'identification (combinaisons de noms d'utilisateur et de mots de passe) RDP (Remote Desktop Protocol) volées ou devinées pour infiltrer un réseau. D'autres attaques ont commencé par compromettre un serveur de réseau privé virtuel (VPN) vulnérable.
Une fois que Maze a été introduit dans un réseau, il effectue les étapes suivantes :
« Exfiltrer » signifie déplacer des données hors d'une zone de confiance sans autorisation. En général, Maze exfiltre des données en se connectant à un serveur FTP (File Transfer Protocol) et en copiant des fichiers et des données sur ce serveur en plus de les chiffrer. Les attaquants ont utilisé les utilitaires PowerShell et WinSCP pour effectuer ces actions.
Dans certains cas, les données exfiltrées ont été transférées vers un service de partage de fichiers dans le cloud plutôt que directement vers un serveur FTP.
Pendant plusieurs années, le groupe de rançongiciel à l'origine de Maze a exploité un site Web sur le dark Web. Il y publiait des données et des documents volés comme preuve de ses attaques passées et incluait des liens vers les médias sociaux pour partager les données volées.
Dans un message publié sur son site Web en novembre 2020, le groupe Maze a affirmé qu'il mettait fin à ses activités. Cependant, comme c'est souvent le cas avec les groupes de rançongiciel, il se peut qu'il soit encore actif sous un autre nom.
L'attaque par rançongiciel Cognizant Maze est un incident majeur qui a eu lieu en avril 2020. Cognizant est un fournisseur de services informatiques pour des entreprises du monde entier. L'attaque a compromis le réseau de Cognizant et a également entraîné le vol de données confidentielles appartenant à ses clients (Cognizant n'a pas révélé lesquels de ses clients ont été touchés par l'attaque). Il a fallu plusieurs semaines à Cognizant pour rétablir complètement ses services, ce qui a ralenti ou arrêté les processus commerciaux de nombre de ses clients pendant cette période.
Cognizant a estimé les pertes dues à l'attaque à 50 à 70 millions $.
Parmi les autres victimes de Maze figurent WorldNet Telecommunications, Columbus Metro Federal Credit Union, l'American Osteopathic Association et VT San Antonio Aerospace.
Ces mesures peuvent atténuer considérablement la probabilité d'une attaque de rançongiciel Maze :
Cloudflare One est une plateforme de réseau en tant que service (NaaS) Zero Trust qui connecte en toute sécurité les utilisateurs distants, les bureaux et les datacenters. En savoir plus sur Cloudflare One et sur la façon dont il contrecarre les attaques de rançongiciel.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité