Cada día oímos más hablar de ataques informáticos a grandes empresas y organismos públicos, que han puesto en jaque durante días sus servicios, impactando así sobre el día a día de muchos ciudadanos. Pero el ransomware no es solo un tipo de malware en concreto, sino que existen diferentes grupos detrás del desarrollo de diferentes variantes. En este artículo hablaremos del ransomware Maze, uno de los más activos hasta el pasado año 2020.
En este artículo hablamos de:
¿Qué es Maze?
Maze es uno de los ransomware más conocidos de los últimos años; como otros malware, una vez infecta el equipo o red de la víctima, cifra sus archivos, bloqueándolos y haciendo imposible que se pueda acceder a ellos, tras lo que se pide un rescate (normalmente en alguna criptomoneda, en este caso Bitcoin) a cambio de descifrar los archivos.
Maze comenzó su andadura en 2019, cuando se lo empezó a conocer como ChaCha ransomware, por el tipo de cifrado que empleaba, pero no tardaron en surgir nuevas versiones de este troyano bajo el nombre ‘Maze’, que en sus mensajes de rescate incluía hasta su propio logotipo.
Sin embargo, pese a que Maze se comportaba como otros ransomware, había algo que lo diferenciaba de los demás y es que fue el pionero entre estos tipos de malware en amenazar con filtrar la información de los archivos cifrados, si no se pagaba el rescate exigido.
El primer ransomware en amenazar con filtrar la información robada
El grupo detrás del ataque del ransomware Maze fue el primero en utilizar la amenaza de publicar los datos e información confidencial que contenían los archivos de la compañía u organismo afectado, si no pagaban el dinero del rescate.
Para ello, Maze, una vez en la red o equipo de la víctima lo que hacía era permanecer oculto varios días (conseguía pasar desapercibido para antivirus), recopilando y filtrando la información que después usaría para extorsionar a su víctima, antes de ejecutar su carga útil, es decir, cifrar los archivos. Para probar que habían conseguido esa información, solían enviar o capturas de pantalla o una pequeña muestra de los archivos robados.
Aparentemente, el grupo detrás de Maze tuvo éxito con esta nueva práctica, que ahora se emplea casi siempre que se produce un ataque de este tipo.
Objetivos que persigue Maze
Los objetivos de Maze son los mismos que persigue cualquier tipo de ransomware; infectar un equipo y de ahí saltar a la red interna de una compañía o una organización pública. Una vez dentro, los cibercriminales utilizan varios tipos de herramientas para desplazarse por la red, explorar archivos, robar aquella información confidencial que les parezca más relevante y, finalmente, ejecutar el ransomware para cifrar los archivos y secuestrar efectivamente el sistema de su víctima.
Una vez llegan a este punto, piden un rescate a cambio de la clave de descifrado y para evitar que se publique la información que han robado en la dark web. La cuantía del rescate suele ser bastante elevada y, como ya dijimos, en criptomonedas.
Las víctimas del ransomware Maze han sido, generalmente, grandes compañías y diferentes tipos de administraciones públicas; víctimas que, por un lado, disponen de la capacidad para pagar los rescates y, por otro lado, almacenan en muchos casos información confidencial que, de filtrarse, podría provocar perjuicios a los ciudadanos.
¿Cómo funciona Maze?
Como otros ransomware, como Ryuk, Maze comenzó sus primeros ataques con campañas masivas de email que incluían archivos adjuntos maliciosos, habitualmente, documentos de Word o Excel que incluían una macro encargada de descargar la carga útil de Maze, que aprovechaba entonces diferentes vulnerabilidades de software para explotarlas e introducirse así en los equipos y la red.
Poco después, cuando grandes empresas y entidades públicas pasaron a ser sus objetivos, los ataques con Maze se hicieron más dirigidos, utilizando técnicas de spear phishing para su distribución.
Diferentes análisis del ransomware Maze indican que empleaban campañas de spear phishing para instalar Cobalt Strike RAT, en otras ocasiones aprovecharon vulnerabilidades en servicios como Pulse o Secure VPN para entrar en las redes internas. También se sabe que se aprovechaban de la poca seguridad y contraseñas débiles de los RDP (protocolo de escritorio remoto) para acceder desde ellos.
Una vez dentro, empleaban diferentes tácticas de escalada de privilegios, reconocimiento y movimiento lateral, según el caso, para lo que se servían de herramientas como Cobalt Strike, Advanced IP Scanner o Bloodhound, entre otras.
Finalmente, una vez tenían la información que querían, se ejecutaba Maze en todos los equipos conectados a la red, cifrando los archivos, y enviaban la nota de rescate, con la cuantía exigida y un plazo de tiempo limitado para efectuar el pago.
Todo esto se desarrollaba en torno a unos 6 días, período de tiempo en el que los cibercriminales usaban sus herramientas para explorar la red y equipos comprometidos, de manera no muy diferente a como actúa una APT (amenaza persistente avanzada).
Consejos para evitar ser víctimas de Maze
Aunque el grupo detrás de Maze habría dejado de llevar a cabo ataques con este ransomware en 2020, eso no quiere decir que otros cibercriminales no lo puedan seguir empleando a día de hoy y por ello hay que saber qué podemos hacer para proteger nuestros sistemas de este ransomware.
Para empezar, un antivirus tradicional se queda corto para hacer frente a un ransomware como Maze, puesto que se basan en la reacción ante el ataque una vez se produce y en este caso, la solución llegaría demasiado tarde. Para poder evitar una infección por ransomware, se recomienda emplear soluciones de seguridad proactivas, es decir, que monitoreen la red y los equipos conectados a ellas en todo momento y sean capaces de detectar comportamientos sospechosos y este tipo de amenazas más avanzadas, por ejemplo, a través de indicadores de compromiso (IOC).
Hablamos de soluciones como sistemas EDR o refuerzo de la seguridad Endpoint, que cuentan con herramientas diseñadas precisamente para hacer frente a este tipo de amenazas.
Pero aparte de instalar un sistema de seguridad adecuado, también hay otras medidas que podemos aplicar para dificultar ataques como los del ransomware Maze:
- Tener equipos y software siempre actualizados a la última versión, de esta forma evitaremos las vulnerabilidades que aprovechan los cibercriminales para entrar en los sistemas.
- No descargar archivos ni abrirlos de correos sospechosos, incluso si parecen legítimos. Antes de descargar nada, revisa la dirección del remitente, para asegurarte de que es legítima. Y si aún así dudas, siempre puedes ponerte en contacto con quien te haya mandado el email y asegurarte.
- Para las empresas, formar y concienciar a los empleados sobre este tipo de amenazas y ataques y la forma en la que funcionan.
Lista de víctimas del ransomware Maze
La lista de víctimas del ransomware Maze es difícil de determinar, pero en ella encontramos nombres de compañías muy conocidas, que sufrieron entre 2019 y 2020 el ataque de este grupo.
Entre ellas:
- La empresa de servicios IT Cognizant, lo que afectó a su vez muchos clientes a nivel mundial (empresas como ING o Mitsubishi Motors son clientes).
- Canon, donde se hizo con 10 TB de información, entre la que había imágenes de los usuarios que utilizaban el almacenamiento gratuito que ofrecía la marca y que habrían sido eliminadas, según los cibercriminales.
- En su ataque a Xerox robaron información confidencial relacionada con operaciones de atención al cliente.
- LG también fue víctima de un ataque y una amenaza similar a la de Xerox.
- Incluso Maze se utilizó para atacar la ciudad de Pensacola en Florida, donde habrían robado 32 GB de información de los sistemas de la ciudad que lograron infectar. Este ataque interrumpió los pagos online de la empresa local de suministro de gas y los servicios de saneamiento de la ciudad.
Supuestamente, el grupo detrás de Maze habría cerrado este proyecto, ¿es cierto?
Como ya hemos dicho un poco más arriba, el grupo detrás de Maze parece haber cerrado sus operaciones con este ransomware o así lo comunicaron en una página oculta en Tor a finales de 2020.
En dicho comunicado, además, justificaban sus ataques bajo la intención de demostrar al mundo que su información no está segura. Y también quisieron desmentir que existiera algún tipo de grupo organizado en torno a Maze.
Sin embargo, esto no quiere decir que los creadores detrás de Maze hayan dejado de crear otras amenazas.
El ransomware Egregor podría ser la evolución de Maze
Tras el supuesto cierre de Maze, se empezaron a detectar ataques llevados a cabo por el ransomware Egregor, que comparte suficientes similitudes con Maze, como para pensar que se trata de una evolución de este.
Además, Egregor funciona de forma muy similar a Maze, tanto en la forma de distribuirse como en la forma de actuar una vez ha infectado un sistema. Y sus objetivos son los mismos, grandes compañías y organismos públicos; solo en 2020 afectó y comprometió información de Randstad, la cadena de tiendas Kmart o la cadena Cencosud.
En definitiva, ransomware como Maze pueden evolucionar y cambiar de nombre, pero lo que no hacen es desaparecer completamente. Y Maze fue especialmente problemático no solo por el tipo de objetivos que consiguió afectar, sino por haber introducido la filtración de información confidencial como parte de la amenaza.