Maze ransomware está interrumpiendo su actividad de ciberdelito

Laberinto ransomware

La banda de ciberdelincuentes Maze está cerrando sus operaciones después de convertirse en uno de los principales jugadores que ejecutan ataques de ransomware.

El ransomware Maze comenzó a funcionar en mayo de 2019, pero se volvió más activo en noviembre.

Fue entonces cuando la operación inteligente de los medios revolucionó los ataques de ransomware al introducir una táctica de doble extorsión.

Índice()

    Primero, roban sus archivos y luego los cifran

    Aunque a las operaciones de ransomware siempre les ha gustado burlarse de los sitios de noticias y de los investigadores, en su mayor parte tendían a ignorar los correos electrónicos de los reporteros.

    Eso cambió en noviembre de 2019, cuando Maze se puso en contacto con BleepingComputer para informarnos que habían robado los datos no cifrados para Allied Universal antes de cifrarlos.

    Maze dijo que si Allied no pagaba un rescate, sus datos se divulgarían públicamente. Finalmente, el rescate no se pagó y Maze divulgó los datos robados.

    Poco después, Maze lanzó un sitio "Maze News" que utiliza para publicar datos sobre víctimas que no pagan y emitir "comunicados de prensa" para los periodistas que siguen sus actividades.

    Sitio de fuga de datos de laberinto
    Sitio de fuga de datos de laberinto

    Esta técnica de doble extorsión fue rápidamente adoptada por otras grandes operaciones de ransomware, incluidos REvil, Clop, DoppelPaymer, que han lanzado sus propios sitios de filtración de datos. Esta técnica de doble extorsión ahora se ha convertido en una táctica estándar utilizada por casi todas las operaciones de ransomware.

    Maze ha seguido evolucionando las operaciones de ransomware al formar un cartel de ransomware con Ragnar Locker y LockBit, para compartir información y tácticas.

    Durante su año y medio de ciberdelito, Maze fue responsable de ataques a víctimas notables, incluidas Southwire, City of Pensacola, Canon, LG Electronics, Xerox y muchas más.

    Maze comenzó a cerrarse hace seis semanas.

    A principios del mes pasado, BleepingComputer comenzó a escuchar rumores de que Maze se estaba preparando para cerrar su operación de ransomware similar a lo que hizo GandCrab en 2019.

    El cierre de la operación se confirmó más tarde después de que BleepingComputer fuera contactado por un actor de amenazas involucrado en el ataque de ransomware Barnes and Noble.

    Este actor de amenazas ha afirmado participar en ataques de ransomware al comprometer redes y robar credenciales de dominio de Windows. Las redes comprometidas luego se transmiten a los afiliados que distribuyen el ransomware.

    El grupo que compromete redes, afiliados y desarrolladores de ransomware luego toma partes iguales de cualquier pago de rescate.

    Como parte de nuestra conversación, se le dijo a BleepingComputer que Maze estaba en proceso de cerrar sus operaciones, había dejado de encriptar nuevas víctimas en septiembre de 2020 y está tratando de obtener los últimos pagos de rescate de las víctimas.

    BleepingComputer dijo que Maze estaba cerrado
    BleepingComputer dijo que Maze está cerrado

    Cuando BleepingComputer se comunicó con Maze para confirmar si se estaban cerrando, nos dijeron: "Deberían esperar el comunicado de prensa".

    Esta semana, Maze comenzó a eliminar a las víctimas que habían incluido en su sitio de filtración de datos. Lo único que queda en el sitio son dos víctimas y las que previamente ya habían publicado todos sus datos.

    La limpieza del sitio de fuga de datos indica que la operación del ransomware es inminente.

    No es raro que las operaciones de ransomware liberen claves de descifrado primarias cuando interrumpen las operaciones, como se ha hecho con Crysis, TeslaCrypt y Shade.

    BleepingComputer se ha puesto en contacto con Maze para preguntar si soltarán las teclas cuando detenga la operación, pero no ha recibido una respuesta.

    Los afiliados cambian al ransomware Egregor

    BleepingComputer se ha enterado de que muchos afiliados de Maze han cambiado a una nueva operación de ransomware llamada Egregor.

    Egregor comenzó a funcionar a mediados de septiembre, justo cuando Maze comenzó a cerrar las operaciones de cifrado. Rápidamente se volvió muy activo, como lo ve ID-Ransomware cuadro de presentación a continuación.

    El gráfico de los envíos de Egregor a ID-Ransomware

    Se cree que Egregor es el mismo software subyacente que Maze y Sekhmet, ya que usan las mismas notas de rescate, nombres de sitios de pago similares y comparten gran parte del mismo código.

    Esto también fue confirmado por un actor de amenazas de ransomware que afirmó que Maze, Sekhmet y Egregor eran el mismo software.

    Michael Gillespie, que analizó tanto a Egregor como a Sekhmet, también descubrió que a las víctimas de Egregor que pagaron un rescate se les enviaron descifradores titulados "Sekhmet Decryptor".

    Descifrador Egregor
    Descifrador Egregor

    Desafortunadamente, esto muestra que incluso cuando se detiene una operación de ransomware, no significa que los actores de amenazas involucrados también se estén retirando. Simplemente pasan a la siguiente operación de ransomware.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir