O Maze ransomware criptografa e rouba dados confidenciais, colocando ainda mais pressão sobre suas vítimas para que paguem o resgate.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Maze é uma cepa de ransomware* que vem afetando as organizações desde 2019. Embora o Maze tenha sido criado por um grupo principal, vários invasores utilizaram o Maze para fins de extorsão.
Além de criptografar os dados, a maioria dos operadores do Maze também copiam os dados criptografados e ameaçam vazá-los, a menos que seja pago um resgate. A infecção por um Maze ransomware combina os efeitos negativos do ransomware (perda de dados, redução de produtividade) com os de uma invasão de dados (vazamento de dados, violações de privacidade), tornando-o motivo de especial preocupação para as empresas.
*Ransomware é um malware que bloqueia arquivos e dados criptografando-os. As vítimas são informadas que só receberão seus arquivos e dados de volta se pagarem um resgate ao invasor.
Quando o Maze ransomware foi usado pela primeira vez, ele foi distribuído principalmente por meio de anexos de e-mails maliciosos. Ataques mais recentes usam outros métodos para comprometer uma rede antes de descartar as cargas úteis do ransomware. Por exemplo, muitos ataques do Maze ransomware usaram credenciais do Protocolo de Desktop Remoto (RDP) roubadas ou adivinhadas (combinações de nome de usuário e senha) para se infiltrar em uma rede. Outros ataques começaram comprometendo um servidor vulnerável da rede privada virtual (VPN).
Depois que o Maze entra em uma rede, ele executa as seguintes etapas:
"Exfiltrar" significa mover dados para fora de uma área confiável sem autorização. Normalmente, o Maze exfiltra os dados conectando-se a um servidor de protocolo de transferência de arquivos (FTP) e copiando arquivos e dados para esse servidor, além de criptografá-los. Os invasores têm usado os utilitários PowerShell e WinSCP para realizar estas ações.
Em alguns casos, os dados exfiltrados foram transferidos para um serviço de compartilhamento de arquivos em nuvem em vez de serem transferidos diretamente para um servidor FTP.
Durante vários anos, o grupo de ransomware que criou o Maze operou um site na dark web. Eles publicaram dados e documentos roubados no site como prova dos ataques realizados e incluíram links de mídia social para compartilhar os dados roubados.
Em um post feito em seu site em novembro de 2020, o grupo Maze alegou que estava encerrando as operações. No entanto, como acontece frequentemente com os grupos de ransomware, pode ser que eles ainda estejam ativos com um nome diferente.
O ataque de Maze ransomware à Cognizant foi um grande incidente que ocorreu em Abril de 2020. A Cognizant é um provedor de serviços de TI para empresas em todo o mundo. O ataque comprometeu a rede da Cognizant e também pode ter resultado no roubo de dados confidenciais pertencentes aos seus clientes (a Cognizant não revelou quais de seus clientes foram afetados pelo ataque). Levou várias semanas para que a Cognizant restabelecesse totalmente seus serviços, o que atrasou ou interrompeu os processos comerciais de muitos de seus clientes durante aquele período.
A Cognizant estimou perdas de US$ 50 milhões a US$ 70 milhões devido ao ataque.
Outras vítimas do Maze incluem a WorldNet Telecommunications, a Columbus Metro Federal Credit Union, a American Osteopathic Association e a VT San Antonio Aerospace.
Estes passos podem tornar um ataque do Maze ransomware muito menos provável:
O Cloudflare One é uma plataforma de rede como serviço (NaaS) Zero Trust que conecta usuários remotos, escritórios e centros de dados com segurança. Saiba mais sobre o Cloudflare One e como ele neutraliza os ataques de ransomware.