Ransonware Maze. ¿Sigue siendo peligroso?

En el trabajo actual desde el entorno doméstico, una de las principales amenazas que hemos visto es el aumento de los ataques de ransomware a personas y organizaciones (más del 148% desde el inicio de la pandemia en enero de 2020). El ransomware es una forma de malware que cifra los archivos de una víctima. El atacante luego exige un rescate de la víctima para restaurar el acceso a los datos al momento del pago. A los usuarios se les muestran instrucciones sobre cómo pagar una tarifa para obtener la clave de descifrado. Los costes pueden variar desde unos pocos miles de euros hasta millones, pagaderos a los ciberdelincuentes en Bitcoin. Dedicamos este post a hablar de uno de estos famosos virus ransomware, Maze. Veremos qué es, cómo funciona, cómo detectarlo y eliminarlo y cómo protegernos de él.

¿Qué es el ransomware Maze?

El ransomware Maze se ha dirigido a organizaciones de todo el mundo y en muchas industrias. Se descubrió el ransomware, anteriormente conocido como ChaCha, en mayo de 2019.

Originalmente se difundió directamente a través de kits de explotación y campañas de spam hasta finales de 2019. Maze se distribuyó a los usuarios en Italia el 29 de octubre de 2019 a través de correos electrónicos que se hicieron pasar por la Agencia de Ingresos Italiana, según un informe de Proofpoint.

Es un archivo binario de 32 bits, que generalmente aparece como un archivo .exe o .dll. Es bastante sofisticado y utiliza muchas técnicas de ofuscación para ayudarlo a evitar las técnicas de seguridad y los investigadores anti-malware.

Al igual que con casi todos los ransomware, el objetivo de Maze es cifrar archivos en el sistema de la víctima y luego exigir un rescate para recuperar esos datos. Sin embargo, una característica interesante de Maze es que los ciberdelincuentes detrás del ransomware amenazan con exponer los datos de la víctima en línea si no pagan.

Otros ransomware, como Sodinokibi, Nemty, Clop y más, han copiado este enfoque desde entonces. Si bien tener copias de seguridad evita que tu organización se detenga, esto no mitiga que los delincuentes tengan una copia de tus datos.

También crea puertas traseras para permitir que los piratas informáticos detrás del ransomware tengan acceso continuo al sistema.

A veces, Maze está precedido por la instalación de herramientas como Cobalt Strike, enviadas como una carga útil codificada. Este actúa como un faro para llevar a cabo acciones posteriores a la explotación.

El ransomware Maze en particular es hoy en día tan alarmante porque, incluso si logra acceder a tu información esencial a través de copias de seguridad, los delincuentes aún tendrían una copia, lo que podría degenerar en un problema masivo de Protección de datos. Es posible que se enfrente a una combinación de un ataque de ransomware y una violación de datos.

¿Cómo funciona?

Veamos cómo funciona el ransomware Maze.

Maze ransomware ingresa a la máquina de la víctima a través de un correo electrónico de phishing, generalmente un correo electrónico de spear-phishing. Este correo electrónico viene con un archivo adjunto malicioso, como un documento de Microsoft Word habilitado para macros o un archivo zip protegido con contraseña.

Los correos electrónicos enviados a las víctimas tenían «Entrega de paquete» y «Su factura de servicio móvil está lista para ver» en la línea de asunto. El documento tiene un título inocente como «Informe trimestral» o «Conjunto de datos confidenciales». Las macros maliciosas de los documentos descargan kits de explotación, como Fallout y Spelevo.

Una vez que la víctima ha abierto el correo electrónico de phishing, comienza a propagarse en el sistema de la víctima. Al mismo tiempo, también se propaga lateralmente por toda la red, intentando obtener mayores privilegios para infectar más sistemas. Busca vulnerabilidades en la red y en los sitios de Active Directory. Las herramientas utilizadas en estas etapas incluyen mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit y otras. También realiza una encuesta interna para encontrar sistemas más susceptibles o mal configurados, que ejecutan RDP o servicios de intercambio de archivos.

Es en estas etapas que los piratas informáticos intentan encontrar y extraer datos valiosos almacenados en los servidores y estaciones de trabajo de la red comprometida. Utilizan estos archivos extraídos como palanca al negociar los pagos de rescate.

Mientras esto sucede, el ransomware comienza a cifrar archivos en la máquina local y el almacenamiento en la nube. Los datos se cifran mediante los algoritmos ChaCha20 y RSA.

Cuando se ejecuta, Maze intenta averiguar qué tipo de dispositivo ha infectado, como un servidor de respaldo, un controlador de dominio, un servidor independiente, etc. Utiliza esta información en su nota de rescate y hace que las víctimas del pánico piensen que los piratas informáticos saben todo sobre su red.

Es en este punto que Maze se da a conocer al publicar una demanda de ransomware en las máquinas infectadas. Esto también detalla las demandas y los métodos de pago del pirata informático, que generalmente se encuentran en alguna forma de criptomoneda.

¿Qué objetivos persigue?

El principal objetivo del ransomware Maze es robar la información confidencial de las víctimas, encriptarla y enviarla a sus servidores. En caso de no pagar el rescate exigido, los ciberdelincuentes publicarán esos datos confidenciales.

Como afirma un sitio web operado por los delincuentes detrás de los ataques de Maze, si no se paga el rescate, ellos:

• Divulgarán los detalles públicos de su violación de seguridad e informe a los medios
• Venderán información robada con valor comercial en el mercado oscuro
• Informarán a las bolsas de valores en las que tu empresa podría estar incluida en la lista sobre el hackeo y la pérdida de información confidencial.
• Utilizarán la información robada para atacar a clientes y socios, así como informarles que tu empresa fue pirateada.

¿Por qué es tan peligroso?

Al igual que otros ransomware vistos en el pasado, Maze puede extenderse por una red corporativa, infectar las computadoras que encuentra y encriptar los datos para que no se pueda acceder a ellos.

Pero lo que hace que Maze sea más peligroso es que también roba los datos que encuentra y los exfiltra a servidores controlados por piratas informáticos malintencionados que luego amenazan con liberarlos si no se paga un rescate. Cada vez más, se han observado otros ransomware (como REvil, también conocido como Sodinokibi) utilizando tácticas similares.

Pero si hay una peculiaridad importante del ransomware Maze es que cuenta con un sistema de afiliados que opera a través de una red de desarrolladores que comparten las ganancias con diferentes grupos. Un usuario puede ser parte de esa red y así infectar otros equipos y luego cobrar una comisión.

¿Cómo detectar este malware?

Maze ransomware tiene algunas características que evitan la ingeniería inversa y el análisis estático. También hay características para ayudarlo a evadir las técnicas de seguridad comunes.

Utiliza importaciones de funciones API dinámicas, ofuscación de flujo de control mediante saltos condicionales, reemplazando RET con JMP dword ptr [esp-4], reemplazando CALL con PUSH + JMP y varias otras técnicas para dificultar el análisis estático.

Para frustrar el análisis dinámico, este troyano también terminará los procesos que los investigadores utilizan normalmente, como procmon, procexp, ida, x32dbg y otros.

En septiembre de 2020, Maze adoptó la técnica de máquina virtual Ragnar Locker para evitar la protección de endpoints. La carga útil del ransomware se ocultó dentro de una máquina virtual Oracle VirtualBox para evitar la detección.

Los vectores de infección comunes utilizados por Maze Ransomware son los correos electrónicos de phishing con archivos adjuntos de MS Office y los sitios web falsos / phishing enlazados con Exploit Kits. Por lo tanto, recomendamos tener cuidado al manejar correos electrónicos de fuentes desconocidas, descargar archivos adjuntos de MS Office, habilitar macros y hacer clic en enlaces sospechosos.

Una vez que el ransomware Maze entra en el sistema, es muy difícil detectarlo.

¿Cómo protegerse de él?

El ransomware sigue evolucionando. La mejor defensa contra ella es la prevención proactiva porque una vez que los datos han sido encriptados por malware o piratas informáticos, a menudo es demasiado tarde para recuperarlos.

Los consejos para la prevención de ataques del ransomware Maze incluyen:

Mantener el software y los sistemas operativos actualizados

Mantener el software y los sistemas operativos actualizados te ayudará a protegerte del malware. Aplica parches y actualizaciones para software como Microsoft Office, Java, Adobe Reader, Adobe Flash y navegadores de Internet como Internet Explorer, Chrome, Firefox, Opera, etc., incluidos los complementos del navegador. Cuando ejecutas una actualización, te beneficias de los últimos parches de seguridad, lo que dificulta que los ciberdelincuentes aprovechen las vulnerabilidades de tu software.

Utilizar software de seguridad

A medida que el ciberdelito se generaliza, la protección contra ransomware nunca ha sido más crucial. Protege las computadoras del ransomware con una solución integral de seguridad en Internet como. Cuando descargas o transmites, el software bloquea los archivos infectados, lo que evita que el ransomware infecte tu computadora y mantiene a raya a los ciberdelincuentes.

Usar VPN para acceder a la red

Utiliza una VPN para acceder a la red en lugar de exponer el Protocolo de escritorio remoto (RDP) a Internet.

Hacer una copia de seguridad de los datos

Realiza copias de seguridad de los datos con regularidad en una ubicación segura fuera del sitio para que puedas restaurar los datos robados en caso de que ocurra un ataque. Una manera fácil de lograr esto es habilitando copias de seguridad automáticas en lugar de depender de que un usuario recuerde de forma rutinaria. Las copias de seguridad deben probarse periódicamente para garantizar que se guarden los datos.

Educar e informar al personal sobre los riesgos de seguridad cibernética

Las organizaciones deben asegurarse de que el personal esté informado sobre los métodos utilizados por los ciberdelincuentes para infiltrarse en las organizaciones de forma electrónica. Capacita a todos los empleados sobre las mejores prácticas de ciberseguridad, tales como:

• Evitar hacer clic en enlaces en correos electrónicos no deseados o en sitios web desconocidos. Las descargas que se inician al hacer clic en enlaces maliciosos son una de las formas en que las computadoras pueden infectarse.
• No descargar software o archivos multimedia de sitios web desconocidos.
• Evitar abrir archivos adjuntos de correo electrónico de remitentes en los que no confías. Mira de quién es el correo electrónico y confirma que la dirección de correo electrónico sea correcta. Asegúrate de evaluar si un archivo adjunto parece genuino antes de abrirlo. Si no estás seguro, comunícate con la persona que crees que lo envió y vuelve a verificar.
• Si recibes una llamada, mensaje de texto o correo electrónico de una fuente no confiable que te solicita información personal, no la proporciones.
• Utilizar solo tecnología segura para la conexión remota en la red local de una empresa.
• Usar la seguridad de endpoints con detección de comportamiento y reversión automática de archivos.
• Utilizar contraseñas únicas y difíciles de descifrar para proteger las cuentas y los datos confidenciales, así como para habilitar la autenticación multifactor.
• Cifrar los datos confidenciales siempre que sea posible.

¿Qué hacer si has sido víctima del ransomware Maze?

Una vez que has sido víctima del ransomware Maze, te pedirán el pago de un rescate para recuperar la información y evitar que esta se publique. Pero, ¿debes pagar?

En última instancia, es una decisión que solo tu puedes tomar. Ten en cuenta que cuantas más empresas paguen un rescate, es más probable que los delincuentes lancen ataques similares en el futuro.

Al mismo tiempo, es posible que sientas que tu empresa debe tomar la decisión difícil pero pragmática de pagar a los delincuentes si crees que tu empresa no puede sobrevivir de otra manera.

Cualquiera que sea tu decisión, te alentamos a que informes a las agencias de aplicación de la ley sobre el incidente y trabajes con ellas para ayudarlas a investigar quién podría estar detrás de los ataques.

Y recuerda esto: pagar el rescate no significa necesariamente que te hayas librado de los problemas de seguridad que te permitieron infectarte en primer lugar. Si no averiguas qué salió mal y por qué y lo solucionas, podrías ser víctima de más ataques de ciberdelincuencia en el futuro.

¿Cómo eliminar Maze de tu equipo?

No debes intentar eliminar el ransomware Maze manualmente, ya que este método solo debe ser utilizado por profesionales de TI. Además, el criptovirus puede modificar los archivos del sistema de Windows e integrarse profundamente en el sistema operativo, por lo que revertir estos cambios es casi imposible. Según los expertos, es muy importante no omitir ningún objeto malicioso, de lo contrario, el virus ransomware podría iniciarse automáticamente en el próximo proceso de inicio de la PC.

En lugar de correr el riesgo por tus propios medios, utiliza un software anti-malware de confianza para eliminar el ransomware Maze. Te sugerimos que utilices herramientas anti-malware. También deberías beneficiarte de las herramientas que pueden reparar el daño y los archivos del sistema después de la terminación del virus. También están disponibles aplicaciones como SpyHunter 5, Malwarebytes u otras opciones; elige la que más te convenga.

Ten en cuenta que el virus ransomware Maze puede impedir que tu software de seguridad funcione correctamente. En tal caso, debes acceder al Modo seguro, ya que detendrá temporalmente las actividades del malware. Tras la finalización exitosa del ransomware, corrige el daño que provocó contra el sistema operativo Windows. Para eso, recomendamos utilizar una herramienta de reparación Reimage.

Eliminación manual usando el modo seguro

Para eliminar Maze ransomware sin interrupciones, debes ingresar al Modo seguro con funciones de red como se explica a continuación:

• Acceda al modo seguro con funciones de red. La eliminación manual de malware debe realizarse mejor en el entorno del Modo seguro.
  • Windows 7 / Vista / XP:
    • Haz clic en Inicio> Apagar> Reiniciar> Aceptar .
    • Cuando tu computadora se active, comienza a presionar el botón F8 varias veces hasta que veas la ventana Opciones de arranque avanzadas.
    • Selecciona Modo seguro con funciones de red de la lista.
  • Windows 10 / Windows 8
    • Haz clic derecho en el botón Inicio y selecciona Configuración.
    • Desplázate hacia abajo para seleccionar Actualización y seguridad
    • En el lado izquierdo de la ventana, elige Recuperación.
    • Ahora desplázate hacia abajo para encontrar la sección Inicio avanzado
    • Haz clic en Reiniciar ahora
    • Selecciona Solucionar problemas
    • Ve a opciones Avanzadas
    • Selecciona Configuración de inicio
    • Presiona Reiniciar.
    • Ahora presiona 5 o haz clic en 5) Habilitar el modo seguro con funciones de red.
• Cierra los procesos sospechosos. El Administrador de tareas de Windows es una herramienta útil que muestra todos los procesos que se ejecutan en segundo plano. Si el malware está ejecutando un proceso, debes cerrarlo:
  • Presiona Ctrl + Shift + Esc en tu teclado para abrir el Administrador de tareas de Windows.
  • Haz clic en Más detalles
  • Desplázate hacia abajo hasta la sección Procesos en segundo plano y busca cualquier cosa sospechosa.
  • Haz clic con el botón derecho y selecciona Abrir ubicación de archivo.
  • Vuelve al proceso, haz clic con el botón derecho y selecciona Finalizar tarea.
  • Elimina el contenido de la carpeta maliciosa.
• Verifica el inicio del programa
  • Presiona Ctrl + Shift + Esc en tu teclado para abrir el Administrador de tareas de Windows.
  • Ve a la pestaña Inicio
  • Haz clic con el botón derecho en el programa sospechoso y selecciona Desactivar.
• Elimina los archivos de virus. Los archivos relacionados con malware se pueden encontrar en varios lugares dentro de tu computadora. Aquí hay instrucciones que podrían ayudarte a encontrarlas:
  • Escribe Liberador de espacio en disco en la búsqueda de Windows y presiona Entrar.
  • Selecciona la unidad que deseas limpiar ( C: es tu unidad principal de forma predeterminada y es probable que sea la que contenga archivos maliciosos).
  • Desplácese por la lista Archivos para eliminar y seleccione lo siguiente: Descargas de archivos temporales de Internet,
    Papelera de reciclaje y Archivos temporales
  • Elige Limpiar archivos del sistema.

Eliminación usando Restaurar sistema

También puedes usar Restaurar sistema para terminar la infección:

• Reinicia tu computadora en modo seguro con el símbolo del sistema
  • Windows 7 / Vista / XP
    • Haz clic en Inicio → Apagar → Reiniciar → Aceptar .
    • Cuando tu computadora se active, comienza a presionar F8 varias veces hasta que veas la ventana Opciones de arranque avanzadas.
    • Selecciona Símbolo del sistema de la lista.
  • Windows 10 / Windows 8
    • Presiona el botón de Encendido en la pantalla de inicio de sesión de Windows. Ahora presiona y mantén presionada la tecla Mayús, y haz clic en Reiniciar.
    • Ahora selecciona Solucionar problemas → Opciones avanzadas → Configuración de inicio y finalmente presiona Reiniciar.
    • Una vez que tu computadora se active, selecciona Habilitar modo seguro con símbolo del sistema en la ventana Configuración de inicio.
• Restaura los archivos y la configuración de tu sistema
  • Una vez que aparezca la ventana del símbolo del sistema, ingresa cd restore y haz clic en Enter
  • Ahora escribe rstrui.exe y presiona Enter nuevamente
  • Cuando aparezca una nueva ventana, haz clic en Siguiente y selecciona su punto de restauración que es anterior a la infiltración de Maze. Después de hacer eso, haz clic en Siguiente.
  • Ahora haz clic en Sí para iniciar la restauración del sistema. Una vez que restaures tu sistema a una fecha anterior, descarga y escanea tu computadora con Reimage y asegúrate de que la eliminación de Maze se haya realizado correctamente.

Lista de víctimas de Maze

Maze ransomware ha afectado a cientos de víctimas, estas organizaciones se han basado principalmente en América del Norte, aunque las víctimas cubren casi todas las partes del mundo.

Las víctimas de ataques con el ransomware Maze incluyen Cognizant, Canon, Xerox, VT San Antonio Aerospace y MaxLinear.

Los piratas informáticos detrás de Maze se atribuyeron la responsabilidad de cifrar los datos de Pensacola, Florida y exigieron un rescate de $ 1 millón por un descifrador.

La pandilla publicó en Internet sus datos de otras víctimas y, en ese momento, amenazaron con deshacerse de todos los datos que había robado de las víctimas que no pagaron el rescate.

En mayo de 2021, un informe de ThreatLabZ, encontró que Maze ransomware representó 273 ataques en 2020. Superó al ransomware Conti, que ocupó el segundo lugar con 190 ataques.

¿Es cierto que el proyecto Maze ha llegado a su fin?

En noviembre de 2020, el grupo de ransomware Maze hizo una declaración bastante farfullante repleta de errores ortográficos de que estaba «oficialmente cerrado».

“Nunca tuvimos socios ni sucesores oficiales. Nuestros especialistas no trabajan con ningún otro software. Nadie y nunca podrá alojar nuevos socios en nuestro sitio web de noticias. El cartel de Maze nunca existió y no existe ahora. Sólo se puede encontrar dentro de la cabeza de los periodistas que escribieron sobre él”, se lee en un comunicado de prensa.

Pero a medida que Maze se cierra, otros toman su lugar. Según un informe de Sophos en diciembre de 2020, Egregor surgió cuando Maze cerró y también usa los datos robados a las víctimas para extorsionar y usa los mismos algoritmos de encriptación ChaCha y RSA para encriptar los archivos de las víctimas. Sin embargo, el código de Egregor se deriva de una familia de ransomware conocida como Sekhmet, que algunos creen que es prácticamente el mismo código que Maze. Muchos afiliados de Maze ahora se han cambiado a la distribución de Egregor.