¿Qué es el ransomware Maze? Definición y explicación

El ransomware Maze: una definición

Maze es una sofisticada variedad de ransomware para sistemas Windows. Se lo ha utilizado para atacar a empresas y organizaciones de todas las industrias y de todos los rincones del mundo. Al igual que otras formas de ransomware, Maze está programado para cifrar los archivos de sus víctimas y exigir, a cambio de devolver el acceso a la información, el pago de un rescate en alguna criptomoneda.

Para asegurarse el cobro del rescate, los delincuentes copian la información de la víctima y amenazan con publicarla. Esta estrategia se ha vuelto cada vez más común y es típica de las variedades de ransomware más nuevas, como REvil/Sodinokibi, JSWorm/Nemty/Nefilim y Clop.

¿Qué es el ransomware Maze?

Maze es una variedad de ransomware que tiene sus orígenes en ChaCha, otro software malicioso del mismo tipo. Se lo detectó por primera vez en mayo de 2019. Los ataques con Maze cobraron impulso en diciembre de ese mismo año y, desde entonces, se ha cobrado víctimas en una amplia variedad de industrias.

¿Cómo funciona Maze?

Maze, en general, se distribuye de tres maneras:

1. a través de vínculos maliciosos o adjuntos infectados (normalmente, archivos de Word o de Excel) que las víctimas reciben en un correo electrónico no deseado;
2. mediante ataques de fuerza bruta enfocados en el protocolo RDP;
3. a través de un kit de exploits.

En algunos casos, las organizaciones afectadas descubren que el ataque provino de un cliente o asociado que había caído presa de los hackers. Una vez que Maze se introduce en una red, sus operadores intentan obtener privilegios administrativos para que el software pueda cifrar la mayor cantidad posible de discos. Pero Maze no se conforma con cifrar los archivos que encuentra: también los copia a un servidor controlado por los atacantes. Estas personas le advierten luego a la víctima que publicarán los archivos si no reciben el pago del rescate.

Aunque la víctima tenga copias de seguridad y pueda restaurarlas para ponerse nuevamente en funciones, no podrá deshacer el hecho de que los delincuentes hayan copiado la información. En este sentido, caer presa de Maze equivale a sufrir un ataque de ransomware y una filtración de datos al mismo tiempo.

Maze en la Web

Los creadores de Maze tienen un sitio web en el que publican los nombres de sus víctimas, a quienes denominan “clientes”. Muchas veces, cuando extraen información de una empresa, publican también parte de lo sustraído a modo de castigo. El sitio especifica la fecha de cada ataque y brinda vínculos para descargar los datos y documentos robados. Los hackers buscan dejar en claro que los ataques no son un invento. Irónico y provocativo, el sitio tiene como eslogan la frase “Por un mundo más seguro” y ofrece botones para compartir los archivos en las redes sociales.

A través del sitio, los hackers les advierten a las víctimas que, de no cobrar el rescate, harán lo siguiente:

• compartirán detalles sobre la vulneración con la prensa y con el público en general;
• venderán en la web oscura todo tipo de información que tenga valor comercial;
• informarán del ataque y de la filtración de datos confidenciales a las bolsas de valores para hacer caer las acciones de la empresa afectada;
• darán aviso del incidente a los clientes y asociados de la víctima y usarán la información robada para atacarlos.

Se cree que Maze opera con una “red de afiliados” y que los desarrolladores comparten sus ganancias con los grupos que utilizan el ransomware para infectar las redes de las víctimas.

En 2020, los responsables de Maze se aliaron con otros dos grupos de ciberdelincuentes, LockBit y RagnarLocker, y formaron una suerte de “cartel del ransomware”. Los delincuentes aunaron esfuerzos y publicaron la información que robaron en conjunto en el sitio web de Maze. Como resultado de esta colaboración, Maze adoptó técnicas de ejecución que en un principio eran exclusivas de RagnarLocker.

¿El fin de Maze?

Hacia fines de 2020, a través de un incoherente comunicado, los responsables de Maze anunciaron el cese de sus actividades. El grupo, según el anuncio, dejaría de actualizar su sitio web y ponía a disposición un “chat de asistencia al cliente” para que las víctimas solicitaran la eliminación de sus datos.

De acuerdo con el comunicado, el grupo comenzó con los ataques para poner el problema de la ciberseguridad en el ojo público. Paralelamente, el texto aseguraba que el grupo no era más que un invento de la prensa y que nunca había existido.

El grupo aseguró haber tenido acceso a los sistemas del gobierno estatal de Nueva York y a los de distintos proveedores de Internet, pero dijo que optó por no atacarlos.

Es conveniente tomar el anuncio de la disolución con escepticismo. Los operadores del ransomware GandCrab también anunciaron un cese de actividades, por ejemplo, y luego reaparecieron en escena con el ransomware REvil/Sodinokibi. Se han observado similitudes entre Maze y dos nuevas variedades de ransomware conocidas como Egregor y Sekhmet, por lo que existe una fuerte probabilidad de que el grupo sencillamente haya decidido concentrarse en una nueva gama de ciberataques.

Ataques con Maze: algunos ejemplos

Estos son algunos de los casos más resonantes de ataques con Maze:

Ataque a Cognizant

De los ataques con Maze, uno de los más notables fue el que sufrió Cognizant. Esta empresa, que forma parte de la lista Fortune 500, es una de las más importantes proveedoras de servicios informáticos del mundo.

El ataque ocurrió en abril de 2020. Obra del grupo de ransomware Maze, el incidente afectó gravemente la capacidad de Cognizant para prestar servicios a sus clientes. El ransomware cifró algunos de los sistemas internos de Cognizant y obligó a la empresa a desactivar otros tantos.

El incidente ocurrió en plena pandemia de coronavirus, en un momento en el que el personal dependía del trabajo remoto. Los empleados tuvieron inconvenientes para llevar a cabo sus funciones porque el ransomware afectó la infraestructura de escritorios virtuales. Maze también hizo desaparecer los directorios internos de la empresa y, con ello, entorpeció gravemente las comunicaciones internas del personal y los contactos entre los equipos de ventas y los distintos clientes. Parte del personal quedó incluso sin acceso a su correo electrónico.

Para protegerse, algunos clientes revocaron el acceso de Cognizant a sus redes y dejaron sus proyectos conjuntos en suspenso. Cognizant reclutó a reconocidos expertos en seguridad informática para que asistieran a su equipo interno. También denunció el ataque ante las autoridades y mantuvo a sus clientes constantemente al tanto de las novedades.

La compañía emitió una serie de notificaciones para advertir que, a su saber, los delincuentes podían haber robado distintas clases de información personal secreta, como números de la seguridad social, números de identificación tributaria, datos financieros y detalles de pasaportes y licencias de conducir. Paralelamente, la empresa informó a sus empleados con tarjeta de crédito corporativa que las mismas podían haber quedado expuestas. Durante un año, Cognizant brindó gratuitamente a los afectados un servicio de monitoreo diseñado para detectar robos de identidad y menciones en la web oscura.

Se estima que las primeras respuestas al ataque le costaron a Cognizant entre cincuenta y setenta millones de dólares. A esta cifra deben sumarse los gastos afrontados por la empresa para restaurar al cien por cien la funcionalidad de sus sistemas.

Entre los clientes de Cognizant, pueden destacarse las empresas de servicios financieros ING y Standard Life, la automotriz Mitsubishi Motors y la empresa de servicios de RR. HH. PeopleSoft. Cognizant no ha revelado las identidades de los clientes afectados por el ataque.

Ataque a Canon

En agosto de 2020, se informó que Canon había sido víctima de un ataque con el ransomware Maze. En este caso, el grupo de delincuentes se alzó con 10 TB de información. El incidente afectó unos veinticinco dominios pertenecientes a la empresa; también impactó en algunas de sus aplicaciones internas, incluidos sus servicios de colaboración y de correo electrónico.

Quienes usaban los 10 GB de almacenamiento gratuito también se vieron perjudicados. La empresa reconoció la pérdida total de las fotos y los datos almacenados antes del 16 de junio de 2020. Sin embargo, según fuentes de la empresa, las imágenes propiamente no se filtraron. Durante un tiempo, las versiones en miniatura de estas imágenes siguieron publicadas en el sitio web del servicio, pero ya no fue posible acceder a la información original. Cuando se hacía clic en una de las miniaturas, el sitio respondía con un error.

Ataque a Xerox

En julio de 2020, los operadores de Maze dijeron tener acceso a los sistemas de Xerox y amenazaron con filtrar una inmensa cantidad de información si no se les pagaba. Para demostrar la vulneración, el grupo publicó diez capturas de pantalla en su sitio web. Las imágenes mostraban que los delincuentes habían robado información vinculada a las operaciones de atención al cliente.

Ataque a la ciudad de Pensacola

La ciudad de Pensacola, en el estado de Florida, sufrió un ataque a fines de 2019. En este caso, los operadores de Maze exigieron un rescate de un millón de dólares para mantener en secreto la información sustraída. Se ha dicho que el grupo extrajo más de 32 GB de datos de los sistemas infectados. Para dar pruebas de la vulneración, los atacantes publicaron una muestra de 2 GB de lo robado.

El ataque interrumpió los pagos en línea de Pensacola Energy (la empresa local de suministro de gas) y de los servicios de saneamiento locales. Por fortuna para los vecinos, la policía, los bomberos y otros servicios no se vieron afectados.

¿Es conveniente pagar el rescate ante un ataque con Maze?

Pagar no es lo recomendable. Cuantas más personas pagan, más incentivo tienen los delincuentes para realizar estos ataques.

Dicho esto, algunas empresas consideran que pagar es el único modo de sobrevivir. No hay una respuesta fácil. En última instancia, cada empresa debe tomar una determinación que se ajuste a sus circunstancias. Pero sea cual fuere la decisión, siempre es recomendable denunciar el ataque ante las autoridades y colaborar con los investigadores para ayudarlos a dar con los responsables.

Independientemente del pago del rescate, es fundamental que la víctima comprenda qué hizo posible la vulneración. Descubrir qué salió mal y corregir esas falencias ayudará a evitar otros ataques.

Para hacer frente al “modus operandi” de Maze, el FBI ha recomendado crear y guardar información falsa. En teoría, esta información puede evitar que los delincuentes roben archivos verdaderamente importantes.

Cómo protegerse de Maze

El ransomware sigue evolucionando. La mejor protección es la prevención: por lo general, una vez que la información está cifrada, es demasiado tarde para recuperarla.

Las organizaciones pueden aplicar algunas medidas para prevenir los ataques de ransomware:

1. Mantener el sistema operativo y las aplicaciones al día

Una buena medida para protegerse contra el malware es mantener las aplicaciones y el sistema operativo actualizados. Es importante aplicar todos los parches y actualizaciones disponibles para programas como Java, Adobe Reader, Adobe Flash y las aplicaciones de Microsoft Office, para navegadores como Internet Explorer, Chrome, Firefox y Opera, y para los complementos de esos navegadores. Las aplicaciones actualizadas cuentan con los últimos parches de seguridad, y son estos los que impiden a los hackers aprovecharse de las vulnerabilidades de software.

2. Utilizar software de seguridad

A medida que el ciberdelito se vuelve un problema de todos los días, la protección contra el ransomware se vuelve más y más esencial. Los productos de seguridad en Internet más completos, como Kaspersky Internet Security, brindan protección contra el ransomware. Estas soluciones detectan y bloquean contenidos infectados en los archivos que se descargan de la Web y mantienen alejados a los ciberdelincuentes y, por supuesto, al ransomware.

3. Usar una VPN para acceder a la red

En lugar de dejar el servicio de Escritorio remoto (RDP) expuesto en Internet, se recomienda utilizar una VPN para brindar una vía de acceso a la red de la empresa. Kaspersky Secure Connection está diseñada para resguardar la privacidad del usuario en línea y permite el acceso a contenidos de todos los rincones del mundo.

4. Crear copias de seguridad

Toda organización debe tener copias de seguridad periódicas almacenadas en una ubicación externa y segura. En caso de sufrir un ataque, estas copias servirán para recuperar la información afectada. Las copias de seguridad se pueden generar en forma automática; no es necesario que un usuario recuerde crearlas. Es importante controlarlas de tanto en tanto para verificar que, efectivamente, la información se esté guardando.

5. Informar y concientizar al personal sobre los riesgos de seguridad

El personal debe saber qué métodos utilizan los delincuentes para infiltrarse por vías electrónicas en una organización. Se recomienda impartir a los empleados consejos de seguridad como estos:

• No haga clic en vínculos que encuentre en sitios web desconocidos o en correos no deseados. Una de las vías de infección más usuales son las descargas iniciadas a través de vínculos maliciosos.
• Evite descargar aplicaciones o archivos multimedia de sitios web desconocidos.
• Evite abrir archivos adjuntos si no conoce al remitente. Verifique quién le ha enviado un correo electrónico y controle que la dirección sea la esperada. Antes de abrir un archivo adjunto, examínelo y verifique que sea seguro. Si tiene alguna duda, comuníquese con quien supuestamente se lo haya enviado.
• Si alguien le pide información personal por teléfono, por correo electrónico o por mensaje de texto, no responda.
• Utilice únicamente tecnologías seguras para establecer conexiones remotas en la red local de la empresa.
• Use una solución de seguridad para endpoints que ofrezca tecnologías de detección de comportamientos y de restauración automática de archivos, como Kaspersky Endpoint Security for Business.
• Proteja sus cuentas y su información confidencial con contraseñas complejas. No use más de una vez la misma contraseña y habilite la autenticación de dos factores.
• Utilice el cifrado de datos cada vez que sea posible.

Independientemente de que el grupo Maze desista de sus actividades o se transforme en un nuevo grupo criminal, la amenaza del ransomware seguirá latente. Como siempre, es vital tener los ojos bien abiertos para hacer frente a los cambios que ocurren día a día en el terreno de las ciberamenazas.

Artículos relacionados:

• Tipos de ransomware
• Cómo evitar los ataques de ransomware
  
• ¿Cuáles son los diferentes tipos de ransomware?
• ¿Qué es esa ventana emergente que dice “Ransomware detectado”?
• ¿Qué es una vulneración de seguridad?