Il ransomware Maze crittografa e ruba dati riservati, aumentando ulteriormente la pressione sulle vittime affinché paghino il riscatto.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche pi ù discusse in Internet.
Copia link dell'articolo
Maze è una variante di ransomware* che ha colpito le organizzazioni a partire dal 2019. Sebbene Maze sia stato creato da un gruppo principale, è stato utilizzato da diversi autori di attacchi a fini di estorsione.
Oltre a crittografare i dati, la maggior parte degli operatori di Maze copia anche i dati che crittografano e minacciano di divulgarli se non viene pagato il riscatto. Un'infezione da ransomware Maze combina gli effetti negativi del ransomware (perdita di dati, riduzione della produttività) con quelli di una violazione dei dati (fughe di dati, violazioni della privacy), rendendola particolarmente preoccupante per le aziende.
*Il ransomware è un malware che blocca file e dati crittografandoli. Alle vittime viene detto che potranno recuperare i propri file e dati solo pagando un riscatto all'aggressore.
Quando il ransomware Maze è entrato in uso per la prima volta, si diffondeva principalmente tramite allegati e-mail dannosi. Gli attacchi più recenti utilizzano altri metodi per compromettere una rete prima di rilasciare il payload del ransomware. Ad esempio, molti attacchi ransomware Maze hanno utilizzato credenziali Remote Desktop Protocol (RDP) rubate o indovinate (combinazioni di nome utente e password) per infiltrarsi in una rete. Altri attacchi sono iniziati compromettendo un server rete privata virtuale (VPN) vulnerabile.
Una volta che Maze è all'interno di una rete, esegue i seguenti passaggi:
"Esfiltrare" significa spostare i dati fuori da un'area attendibile senza autorizzazione. In genere, Maze estrae i dati connettendosi a un server FTP (File Transfer Protocol) e copiando file e dati su questo server, oltre a crittografarli. Per eseguire queste azioni, gli autori di attacchi hanno utilizzato le utilità PowerShell e WinSCP.
In alcuni casi, i dati esfiltrati sono stati trasferiti a un servizio di condivisione file nel cloud anziché direttamente a un server FTP.
Per diversi anni, il gruppo ransomware che ha creato Maze ha gestito un sito Web sul dark Web. Hanno pubblicato dati e documenti rubati sul sito Web come prova dei loro attacchi passati e hanno incluso collegamenti ai social media per condividere i dati rubati.
In un post sul loro sito Web nel novembre 2020, il gruppo Maze ha affermato che stava terminando le operazioni. Tuttavia, come spesso accade con i gruppi ransomware, potrebbero comunque essere attivi sotto un nome diverso.
L'attacco ransomware Maze Cognizant è stato un grave incidente avvenuto nell'aprile 2020. Cognizant è un fornitore di servizi IT per aziende di tutto il mondo. L'attacco ha compromesso la rete di Cognizant e potrebbe aver causato anche il furto di dati riservati appartenenti ai suoi clienti (Cognizant non ha rivelato quali dei suoi clienti sono stati colpiti dall'attacco). Ci sono volute diverse settimane prima che Cognizant ripristinasse completamente i suoi servizi, il che ha rallentato o interrotto i processi aziendali per molti dei suoi clienti durante quel periodo.
Cognizant ha stimato perdite tra i 50 e i 70 milioni di dollari a causa dell'attacco.
Altre vittime di Maze includono WorldNet Telecommunications, Columbus Metro Federal Credit Union, American Osteopathic Association e VT San Antonio Aerospace.
Questi passaggi possono rendere molto meno probabile un attacco ransomware Maze:
Cloudflare One è una piattaforma network-as-a-service (NaaS) Zero Trust che connette in modo sicuro utenti, uffici e datacenter remoti. Scopri di più su Cloudflare One e su come contrasta gli attacchi ransomware.