Cos'è il ransomware Maze?

Cos'è il ransomware Maze?

Maze è una variante di ransomware* che ha colpito le organizzazioni a partire dal 2019. Sebbene Maze sia stato creato da un gruppo principale, è stato utilizzato da diversi autori di attacchi a fini di estorsione.

Oltre a crittografare i dati, la maggior parte degli operatori di Maze copia anche i dati che crittografano e minacciano di divulgarli se non viene pagato il riscatto. Un'infezione da ransomware Maze combina gli effetti negativi del ransomware (perdita di dati, riduzione della produttività) con quelli di una violazione dei dati (fughe di dati, violazioni della privacy), rendendola particolarmente preoccupante per le aziende.

*Il ransomware è un malware che blocca file e dati crittografandoli. Alle vittime viene detto che potranno recuperare i propri file e dati solo pagando un riscatto all'aggressore.

Come funziona un attacco ransomware Maze?

Quando il ransomware Maze è entrato in uso per la prima volta, si diffondeva principalmente tramite allegati e-mail dannosi. Gli attacchi più recenti utilizzano altri metodi per compromettere una rete prima di rilasciare il payload del ransomware. Ad esempio, molti attacchi ransomware Maze hanno utilizzato credenziali Remote Desktop Protocol (RDP) rubate o indovinate (combinazioni di nome utente e password) per infiltrarsi in una rete. Altri attacchi sono iniziati compromettendo un server rete privata virtuale (VPN) vulnerabile.

Una volta che Maze è all'interno di una rete, esegue i seguenti passaggi:

1. Ricognizione: Maze esamina le vulnerabilità della rete e identifica il maggior numero possibile di macchine connesse, contribuendo a garantire che l'eventuale attivazione del ransomware abbia il massimo impatto. Tra le altre cose, Maze analizza Active Directory, un programma Windows che elenca tutti gli utenti e i computer autorizzati su una rete. Il processo di ricognizione viene solitamente completato diversi giorni dopo che gli aggressori si sono infiltrati nella rete presa di mira.
2. Spostamento laterale: Maze utilizza le informazioni acquisite durante la ricognizione per diffondersi nella rete, infettando quanti più dispositivi possibile.
3. Escalation dei privilegi: man mano che Maze si sposta lateralmente, ruba più credenziali e così può diffondersi su altre macchine. Alla fine, solitamente, acquisisce le credenziali di amministratore, che gli conferiscono il controllo sull'intera rete.
4. Persistenza: Maze utilizza una serie di tecniche per resistere alla rimozione. Ad esempio, può installare backdoor (modi nascosti per aggirare le misure di sicurezza) nella rete in modo che possa essere reinstallata se viene rilevata e rimossa.
5. Attacco: infine, Maze inizia il processo di crittografia ed esfiltrazione dei dati. Una volta crittografati i dati, Maze visualizza o invia una richiesta di riscatto in cui spiega alla vittima come effettuare il pagamento, sbloccare i dati e impedire una fuga di dati.

In che modo Maze esfiltra i dati?

"Esfiltrare" significa spostare i dati fuori da un'area attendibile senza autorizzazione. In genere, Maze estrae i dati connettendosi a un server FTP (File Transfer Protocol) e copiando file e dati su questo server, oltre a crittografarli. Per eseguire queste azioni, gli autori di attacchi hanno utilizzato le utilità PowerShell e WinSCP.

In alcuni casi, i dati esfiltrati sono stati trasferiti a un servizio di condivisione file nel cloud anziché direttamente a un server FTP.

Cos'è il sito Web di Maze?

Per diversi anni, il gruppo ransomware che ha creato Maze ha gestito un sito Web sul dark Web. Hanno pubblicato dati e documenti rubati sul sito Web come prova dei loro attacchi passati e hanno incluso collegamenti ai social media per condividere i dati rubati.

In un post sul loro sito Web nel novembre 2020, il gruppo Maze ha affermato che stava terminando le operazioni. Tuttavia, come spesso accade con i gruppi ransomware, potrebbero comunque essere attivi sotto un nome diverso.

Cos'è stato l'attacco ransomware Maze Cognizant?

L'attacco ransomware Maze Cognizant è stato un grave incidente avvenuto nell'aprile 2020. Cognizant è un fornitore di servizi IT per aziende di tutto il mondo. L'attacco ha compromesso la rete di Cognizant e potrebbe aver causato anche il furto di dati riservati appartenenti ai suoi clienti (Cognizant non ha rivelato quali dei suoi clienti sono stati colpiti dall'attacco). Ci sono volute diverse settimane prima che Cognizant ripristinasse completamente i suoi servizi, il che ha rallentato o interrotto i processi aziendali per molti dei suoi clienti durante quel periodo.

Cognizant ha stimato perdite tra i 50 e i 70 milioni di dollari a causa dell'attacco.

Quali sono stati gli altri attacchi più importanti di Maze?

• Pensacola, Florida, Stati Uniti: la città di Pensacola è stata vittima di Maze nel 2019. Gli autori dell'attacco hanno fatto trapelare 2 GB di dati di Pensacola come prova dell'attacco.
• Canon: Maze ha infettato la società di apparecchiature di imaging Canon nel 2020. Gli autori dell'attacco hanno esfiltrato 10 TB di dati. Molti utenti del servizio di archiviazione gratuito di Canon hanno perso definitivamente i loro dati a causa dell'attacco.
• Xerox: Maze ha compromesso i sistemi Xerox nel 2020, rubando 100 GB di dati.
• LG Electronics: nel 2020, Maze ha rubato e fatto trapelare i dati del codice sorgente da LG.

Altre vittime di Maze includono WorldNet Telecommunications, Columbus Metro Federal Credit Union, American Osteopathic Association e VT San Antonio Aerospace.

Come prevenire il ransomware Maze

Questi passaggi possono rendere molto meno probabile un attacco ransomware Maze:

• Evitare di utilizzare credenziali predefinite: gli attacchi Maze hanno sfruttato la compromissione delle credenziali per infiltrarsi in una rete. I nomi utente e le password predefiniti sono in genere ben noti nell'underground criminale e quindi non sono per niente sicuri.
• Utilizzare l'autenticazione a due fattori (2FA): 2FA significa utilizzare più di un semplice nome utente e password per autenticare un utente prima di concedere l'accesso a un'applicazione, ad esempio, richiedendo l'uso di un token hardware che i malintenzionati non possono rubare o duplicare.
• Sicurezza e-mail: filtrare gli allegati e-mail dannosi e insegnare agli utenti a ignorare le e-mail inaspettate e gli allegati non attendibili.
• Aggiornare i sistemi: gli aggiornamenti software possono correggere alcune delle vulnerabilità che Maze sfrutta solitamente per compromettere server e reti.
• Scansione anti-malware: in caso di infezione da Maze, è fondamentale rilevarla e rimuoverla dai dispositivi infetti il prima possibile. L'anti-malware è in grado di rilevare la maggior parte delle forme di Maze su un dispositivo. I dispositivi infetti devono essere isolati immediatamente dal resto della rete.
• Sicurezza Zero Trust: un modello di sicurezza Zero Trust aiuta a prevenire gli spostamenti laterali all'interno di una rete verificando regolarmente sia gli utenti sia i dispositivi e limitando immediatamente l'accesso ai dispositivi infetti da malware. Scopri di più sulle reti Zero Trust.

Cloudflare One è una piattaforma network-as-a-service (NaaS) Zero Trust che connette in modo sicuro utenti, uffici e datacenter remoti. Scopri di più su Cloudflare One e su come contrasta gli attacchi ransomware.