O que é Maze ransomware?

O Maze ransomware criptografa e rouba dados confidenciais, colocando ainda mais pressão sobre suas vítimas para que paguem o resgate.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina como funciona o Maze ransomware
  • Descreva como o Maze criptografa e exfiltra dados
  • Aprenda como evitar ataques do Maze ransomware

Copiar o link do artigo

O que é Maze ransomware?

Maze é uma cepa de ransomware* que vem afetando as organizações desde 2019. Embora o Maze tenha sido criado por um grupo principal, vários invasores utilizaram o Maze para fins de extorsão.

Além de criptografar os dados, a maioria dos operadores do Maze também copiam os dados criptografados e ameaçam vazá-los, a menos que seja pago um resgate. A infecção por um Maze ransomware combina os efeitos negativos do ransomware (perda de dados, redução de produtividade) com os de uma invasão de dados (vazamento de dados, violações de privacidade), tornando-o motivo de especial preocupação para as empresas.

*Ransomware é um malware que bloqueia arquivos e dados criptografando-os. As vítimas são informadas que só receberão seus arquivos e dados de volta se pagarem um resgate ao invasor.

Como funciona um ataque de Maze ransomware?

Quando o Maze ransomware foi usado pela primeira vez, ele foi distribuído principalmente por meio de anexos de e-mails maliciosos. Ataques mais recentes usam outros métodos para comprometer uma rede antes de descartar as cargas úteis do ransomware. Por exemplo, muitos ataques do Maze ransomware usaram credenciais do Protocolo de Desktop Remoto (RDP) roubadas ou adivinhadas (combinações de nome de usuário e senha) para se infiltrar em uma rede. Outros ataques começaram comprometendo um servidor vulnerável da rede privada virtual (VPN).

Depois que o Maze entra em uma rede, ele executa as seguintes etapas:

  1. Reconhecimento: O Maze investiga as vulnerabilidades da rede e identifica o maior número possível de máquinas conectadas, ajudando a garantir que a eventual ativação do ransomware tenha o máximo impacto. Entre outras coisas, o Maze escaneia o Active Directory, um programa do Windows que lista todos os usuários e computadores autorizados em uma rede. Normalmente, o processo de reconhecimento é realizado vários dias após os invasores se infiltrarem na rede visada.
  2. Movimento lateral: O Maze utiliza as informações obtidas durante o reconhecimento para se espalhar pela rede, infectando o maior número possível de dispositivos.
  3. Escalação de privilégios: À medida que o Maze se move lateralmente, rouba mais credenciais, o que permite que ele se espalhe para outras máquinas. Por fim, geralmente ele obtém as credenciais de administrador, o que lhe dá controle sobre toda a rede.
  4. Persistência: O Maze usa uma série de técnicas para resistir à remoção. Por exemplo, ele pode instalar backdoors (formas ocultas de contornar medidas de segurança) na rede para que possa ser reinstalado caso seja descoberto e removido.
  5. Ataque: Finalmente, o Maze inicia o processo de criptografia e exfiltragem de dados. Depois de criptografar os dados, o Maze exibe ou envia uma nota de resgate dizendo à vítima como fazer o pagamento, desbloquear e evitar um vazamento dos seus dados.

Como o Maze exfiltra os dados?

"Exfiltrar" significa mover dados para fora de uma área confiável sem autorização. Normalmente, o Maze exfiltra os dados conectando-se a um servidor de protocolo de transferência de arquivos (FTP) e copiando arquivos e dados para esse servidor, além de criptografá-los. Os invasores têm usado os utilitários PowerShell e WinSCP para realizar estas ações.

Em alguns casos, os dados exfiltrados foram transferidos para um serviço de compartilhamento de arquivos em nuvem em vez de serem transferidos diretamente para um servidor FTP.

Qual é o site do Maze?

Durante vários anos, o grupo de ransomware que criou o Maze operou um site na dark web. Eles publicaram dados e documentos roubados no site como prova dos ataques realizados e incluíram links de mídia social para compartilhar os dados roubados.

Em um post feito em seu site em novembro de 2020, o grupo Maze alegou que estava encerrando as operações. No entanto, como acontece frequentemente com os grupos de ransomware, pode ser que eles ainda estejam ativos com um nome diferente.

O que foi o ataque de Maze ransomware à Cognizant?

O ataque de Maze ransomware à Cognizant foi um grande incidente que ocorreu em Abril de 2020. A Cognizant é um provedor de serviços de TI para empresas em todo o mundo. O ataque comprometeu a rede da Cognizant e também pode ter resultado no roubo de dados confidenciais pertencentes aos seus clientes (a Cognizant não revelou quais de seus clientes foram afetados pelo ataque). Levou várias semanas para que a Cognizant restabelecesse totalmente seus serviços, o que atrasou ou interrompeu os processos comerciais de muitos de seus clientes durante aquele período.

A Cognizant estimou perdas de US$ 50 milhões a US$ 70 milhões devido ao ataque.

Quais foram alguns dos outros grandes ataques do Maze?

  • Pensacola, Flórida, EUA: A cidade de Pensacola foi vítima do Maze em 2019. Os invasores vazaram 2 GB de dados da Pensacola como prova do ataque.
  • Canon: O Maze infectou a empresa de equipamentos de imagem Canon em 2020. Os invasores exfiltraram 10 TB de dados. Muitos usuários do serviço de armazenamento gratuito da Canon perderam seus dados permanentemente como resultado do ataque.
  • Xerox: O Maze comprometeu os sistemas da Xerox em 2020, roubando 100 GB de dados.
  • LG Electronics: Em 2020, o Maze roubou e vazou dados de código fonte da LG.

Outras vítimas do Maze incluem a WorldNet Telecommunications, a Columbus Metro Federal Credit Union, a American Osteopathic Association e a VT San Antonio Aerospace.

Como evitar o Maze ransomware

Estes passos podem tornar um ataque do Maze ransomware muito menos provável:

  • Evite usar as credenciais padrão: Os ataques do Maze usaram o comprometimento de credenciais para se infiltrar em uma rede. Os nomes de usuário e senhas padrão normalmente são bem conhecidos no submundo do crime e, portanto, bastante inseguros.
  • Use autenticação de dois fatores (2FA): 2FA significa usar mais do que apenas um nome de usuário e senha para autenticar um usuário antes de conceder acesso a um aplicativo, como por exemplo, exigir o uso de um token de hardware que os invasores não possam roubar ou duplicar.
  • Segurança de e-mail: Filtre anexos de e-mails maliciosos e treine os usuários a ignorar e-mails inesperados e anexos não confiáveis.
  • Atualize os sistemas: As atualizações de software podem corrigir algumas das vulnerabilidades que o Maze normalmente utiliza para comprometer servidores e redes.
  • Faça a verificação antimalware: Se ocorrer uma infecção pelo Maze, é crucial detectá-la e removê-la dos dispositivos infectados o mais rápido possível. O antimalware pode detectar a maioria das formas do Maze em um dispositivo. Os dispositivos infectados devem ser isolados do resto da rede imediatamente.
  • Segurança Zero Trust: Um modelo de segurança Zero Trust ajuda a evitar movimentos laterais dentro de uma rede por meio da verificação regular tanto de usuários quanto de dispositivos, além de restringir imediatamente o acesso a dispositivos infectados com malware. Saiba mais sobre redes Zero Trust.

O Cloudflare One é uma plataforma de rede como serviço (NaaS) Zero Trust que conecta usuários remotos, escritórios e centros de dados com segurança. Saiba mais sobre o Cloudflare One e como ele neutraliza os ataques de ransomware.