Administrador De Red

¿Qué es Maze Ransomware y cómo protegerse contra él?

ransomware laberinto Surgió por primera vez en mayo de 2019. Maze es el nombre del grupo de hackers que lo creó, pero ellos no lanzan el sistema Maze. En cambio, el grupo Maze presta el software a otros grupos de hackers que tienen objetivos en mente. El atacante y el proveedor del ransomware comparten los beneficios obtenidos del rescate.

El sistema Maze no aparece en las listas de correo. Se utiliza como parte de una campaña dirigida eso incluye el doxing, que es la elaboración de perfiles de personas. La cantidad de investigación que se dedica a cada ataque es costosa y requiere mucho tiempo. Este esfuerzo vale la pena porque el ransomware Maze puede cruzar redes. Se utiliza principalmente para acceder a servicios en la nube y luego pasar a la red de cada uno de los clientes de ese servicio.

Contenido [ esconder ]

¿Cómo llega Maze ransomware a una red?
¿Cómo infecta Maze un sistema?
¿Cómo se produce un ataque de ransomware Maze?
¿De dónde es Laberinto?
Cómo lidiar con el ransomware Maze

¿Cómo llega Maze ransomware a una red?

Los piratas informáticos que utilizan Maze requieren una cuenta de usuario válida, y entonces la primera fase de un ataque Laberinto es phishing . En esta técnica, los piratas informáticos investigan a las personas que trabajan en una organización y luego inician una conversación basada en algún interés que han descubierto que persigue esa persona.

La marca inicial podría ser un empleado de bajo nivel. En este caso, el hacker consigue el impacto de explicar quién está a cargo de ese departamento y posiblemente quién trabaja en el departamento de TI. El grupo de hackers finalmente construye una organigrama a través de estos contactos sociales y descubre quién tiene acceso privilegiado al sistema. Esa persona se convierte entonces en el objetivo principal. Son las cuentas a nivel de sistema las que quieren los piratas informáticos.

Mientras que algunos miembros del equipo de hackers intentan engañar a los empleados, otros miembros probarán formas tradicionales de ingresar al sistema con contraseñas de uso frecuente, contraseñas predeterminadas del fabricante o un descifrador de contraseñas para obtener puntos de acceso clave a la red. El grupo también intentará conseguir una troyano de acceso remoto en un dispositivo con una infección .docx archivo como archivo adjunto de correo electrónico. De una forma u otra, el grupo puede adquirir una cuenta de usuario.

¿Cómo infecta Maze un sistema?

Una vez que Maze esté en un dispositivo, ingresará una fase de investigación , utilizando herramientas de sondeo del sistema conocidas, como smbtools.exe, Adfind, BloodHound, PingCastle, además de monitoreo del sistema. descubrimiento herramientas. Buscará vulnerabilidades de red. El virus buscará acceso abierto a SMB, ajustes de configuración del dispositivo de red y la oportunidad de ingresar Directorio Activo instancias.

Las herramientas del sistema operativo que implementa el ransomware Maze incluyen Resolución de nombre de multidifusión local de enlace (LLMNR) transmisiones y el Servicio de nombres NetBIOS (NBT-NS) para intentar identificar otras computadoras y dispositivos. También capturará Administrador de LAN NT (NTLM) paquetes, que contienen credenciales de inicio de sesión. También desplegará Mimikatz en cada punto final infectado para intentar descubrir las credenciales del usuario. Al obtener un nombre de cuenta de usuario, el paquete Maze utilizará varias técnicas para adquirir la contraseña.

El ransomware gastará varios dias explorar el sistema, mapear la red y ensamblar la mayor cantidad posible de estructura de derechos de acceso. El virus actúa de forma muy similar a la normal. monitoreo del sistema y herramientas de gestión. Intenta obtener acceso a otros puntos finales de la red. Si el sistema es un proveedor de servicios administrados, el virus intentará conectarse a los sistemas del cliente y comenzar su fase de investigación.

Mientras examinaba cada punto final al que se accedía recientemente, el virus escanea en busca de archivos de texto sin formato que pueda contener información de la cuenta del usuario. También intentará descifrar contraseñas por fuerza bruta para intentar acceder a las cuentas de usuario y del sistema en el dispositivo. El sistema tiene tiempo y seguirá explorando, rastreando diferentes dispositivos y otras técnicas de escaneo para encontrar cuentas de usuario.

Una vez que Maze encuentra las credenciales del usuario, puede moverse por la red más rápidamente, utilizando PYME y RPC servicios para enviar archivos y software a otros dispositivos y posiblemente a los servidores centrales del sistema. El virus también creará sus cuentas de usuario para ingresar al servicio de administración de derechos de acceso (ARM) para la red de destino.

La principal dificultad de la lucha contra Maze radica en su capacidad de pasar a nuevos dispositivos. Una vez que esté en otro dispositivo, ese módulo adicional infectará todos los demás dispositivos de la red. Por lo tanto, si el programa ransomware se descubre en un dispositivo y se elimina, ese dispositivo puede ser rápidamente eliminado. reinfectado desde otro dispositivo infectado.

¿Cómo se produce un ataque de ransomware Maze?

Maze se propaga muy rápidamente por una red. Su objetivo final es cifrar todos los archivos de datos para exigir un rescate. Parte de la razón por la que el sistema demora en activar ese cifrado es que los piratas informáticos detrás del software también quieren robar esos datos . Entonces, cuando ingresa a un nuevo punto final, busca archivos, abre una conexión a Internet y luego transfiere esos archivos. Más tarde, el equipo amenaza con liberar el contenido de esos archivos al público o a la comunidad de hackers para motivar a las víctimas a pagar el rescate.

Una vez que se han robado todos los datos, comienza el cifrado de Maze. El cifrado se realiza con dos cifrados, que son ChaCha20 y RSA . ChaCha20 es una variación del cifrado Salsa20. RSA es un sistema de cifrado asimétrico que se utiliza ampliamente como parte del sistema de seguridad SSL. La implementación Maze de RSA utiliza una clave de 2048 bits. ChaCha20 utiliza una clave de 256 bits.

Como cada archivo está cifrado, Maze agrega una extensión adicional al final de su nombre. Esta es una serie aleatoria de cuatro a siete personajes. Cuando todos los archivos del dispositivo han sido cifrados, Maze cambia el fondo de pantalla del escritorio de la computadora para mostrar la demanda de rescate.

Se dirige al usuario a un archivo de texto que el ransomware ha copiado en el dispositivo. Se llama DECRIPTAR ARCHIVOS.txt . Explica cómo utilizar un descifrador, que también se copia en el dispositivo. Esta utilidad tiene un medidor de descifrado y permite descifrar tres archivos de forma gratuita. Al pagar el rescate se compran créditos para el descifrador. La pantalla no indica ningún precio.

Mientras la demanda de rescate se muestra en la pantalla de la computadora atacada, Maze también reproduce un archivo de audio, que es un mensaje de voz en bucle que actúa como alarma.

El archivo DECRYPT-FIES.txt explica que la víctima tiene tres días para contactar a los piratas informáticos, o publicarán una notificación del ataque en su sitio. Esto sería perjudicial porque podría provocar que las empresas asociadas que realizan un análisis de riesgos de terceros dejen de tratar con la empresa víctima. Si la víctima no se comunica con el grupo dentro siete días , el grupo Maze divulgará todos los datos robados.

La amenaza de la divulgación de datos es potente porque bloquea las estrategias de recuperación que las empresas podrían tener que evitar pagar, como borrar y restaurar desde una copia de seguridad. El grupo confía mucho en su poder e incluso ofrece soporte de chat en vivo si el administrador del sistema tiene dificultades para utilizar el descriptor.

La víctima tiene que abrir el sitio web de Maze en un navegador Tor para recibir instrucciones sobre el pago y luego obtener la clave de descifrado. El grupo también promete eliminar todos los datos robados que tenga una vez realizado el pago.

El ransomware Maze no tiene un rescate fijo; recuerde que el grupo trabaja en asociación con otros sindicatos de delitos cibernéticos y divide el pago, y cada socio tendrá diferentes expectativas de ingresos. Sin embargo, se sabe que Maze los rescates son muy altos . Las demandas reportadas oscilan entre 6 y 15 millones de dólares.

¿De dónde es Laberinto?

Los hackers detrás de Maze no son uno de los grupos principales; de hecho, no tienen un nombre distinto: se les conoce como Maze, al igual que el ransomware. Una rutina dentro del sistema de cifrado comprueba el idioma local de la máquina y no lanzará el ataque de cifrado si ese idioma es uno de los de la antigua Unión Soviética o el serbio.

El bloqueo de la interferencia con los ordenadores utilizados por los rusos o las poblaciones de Estados aliados de Rusia hace más que probable que el grupo de hackers Maze esté con sede en Rusia . El código del paquete de programas Maze está bien ordenado y comentado adecuadamente. Esto indica que los creadores del sistema son programadores profesionales . El código no tiene errores y funciona bien.

El sistema incluye varias técnicas de ofuscación y está compuesto por varios módulos que se apoyan entre sí e intercambian datos. Esto indica que el ransomware fue desarrollado por diseñadores de sistemas experimentados y dirigido por directores de proyecto. Su desarrollo incluyó pruebas exhaustivas. Entonces, Maze no es producto de aficionados, sino de un esfuerzo grupal bien administrado.

Cómo lidiar con el ransomware Maze

Una buena noticia sobre Maze es que el 1 de noviembre de 2020, el grupo anunció que estaba cesar los ataques . Sin embargo, no hay razón para creerles. La falta de ataques reportados tampoco es una indicación de que no hayan ocurrido ataques. Si ha habido un alto el fuego, nadie puede confiar en que será permanente.

La amenaza de divulgación de datos significa que resulta difícil ignorar una demanda de rescate de Maze. Si su empresa está vinculada a un estándar de privacidad de datos, como HIPAA , PCI DSS , o RGPD , las multas y compensaciones que tendría que pagar por esa divulgación podrían terminar costando más que el rescate. El grupo Maze ha sido muy inteligente.

El único manera segura sobrevivir a un ataque del Laberinto es evitar que ocurra en primer lugar. Afortunadamente, algunos excelentes sistemas de defensa contra malware bloquean el ransomware Maze. El grupo Maze puede regresar con una versión modificada que evite los sistemas de detección configurados para detectar el Maze original. Sin embargo, hay opciones antimalware disponibles que son prueba del futuro porque buscan actividad anómala en lugar de nombres de archivos específicos. Esto es particularmente útil para Maze, que actúa más como una amenaza interna que como un ataque de virus.

Considere los siguientes sistemas de seguridad para defenderse del ransomware Maze.

1. CrowdStrike Falcon Insight (PRUEBA GRATUITA)

Información sobre el halcón de CrowdStrike es una buena opción para combatir el ransomware Maze. CrowdStrike tiene un laboratorio de investigación y sabe todo sobre Maze y cómo funciona, por lo que este paquete incluye rutinas de bloqueo contra el ransomware.

El sistema Insight ofrece una cobertura coordinada de todos los puntos finales . Esto es muy útil para el problema de Maze cuando reinstala su software en un terminal que se ha limpiado de otro terminal infectado.

Insight se encuentra en la nube y recibe informes de los módulos residentes en los terminales. El software de monitoreo instalado en cada punto final se llama Halcón prevenir , que está disponible como producto independiente. Se trata de un sistema antivirus de última generación que busca comportamientos anormales. Carga informes al coordinador de Insight. Insight puede enviar instrucciones instantáneas a todos los puntos finales tan pronto como se detecta una infección de Maze en un lugar. Así, la eliminación puede coincidir en todos los dispositivos de la red.

Insight gestiona respuesta a la amenaza así como la detección. Los pasos de solución pueden incluir suspender la cuenta de usuario, aislar dispositivos de la red y bloquear archivos para Active Directory. Insight funciona bien contra amenazas internas y intrusión así como virus.

Puede obtener una prueba gratuita de 15 días de Falcon Prevent.

CrowdStrike Falcon Prevent Comienza una prueba GRATUITA de 15 días

dos. GestionarEngine DataSecurity Plus

GestionarEngine DataSecurity Plus es un sistema de protección para informacion delicada . Como se explicó, la amenaza de que Maze publique los datos que roba es un problema grave para las empresas que siguen un estándar de privacidad de datos. DataSecurity Plus garantiza que los datos confidenciales estén seguros.

El sistema busca almacenes de datos en todas sus redes y luego clasifica los datos de cada uno. Esto le permite saber exactamente dónde están todos los datos valiosos.

El sistema ManageEngine también incluye un monitor de integridad de archivos que pueden controlar esas ubicaciones de datos confidenciales e informar sobre todos los intentos de acceso. Esto bloquea los datos que realmente no puede darse el lujo de filtrar. Con la información esencial protegida, usted puede razonablemente ignorar las amenazas del laberinto incluso si entran. Continúe, borre todos los puntos finales y restáurelos desde la copia de seguridad.

ManageEngine DataSecurity Plus está disponible para un Prueba gratuita de 30 días .

3D-Online

Información, Herramientas, Revisiones Y Comparaciones, Para Ayudar A Los Lectores A Mejorar Su Ciberseguridad Y Confidencialidad En Internet.