¿Qué es el ransomware Maze? Definición y explicación

Ransomware Maze: significado y definición

Maze es una variedad sofisticada de ransomware para Windows que se centra en atacar a organizaciones de todo tipo de sectores y por todos los rincones del mundo. Al igual que con otros tipos de ransomware, Maze está programado para cifrar los archivos de sus víctimas y exigir el pago de un rescate en una criptomoneda a cambio de liberar esa información.

Si las víctimas del ransomware se niegan a pagar, los delincuentes amenazan con filtrar los datos confidenciales de las víctimas. Esta estrategia se ha vuelto cada vez más común y es típica de las variedades de ransomware más nuevas, como REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop, etc.

¿Qué es el ransomware Maze?

Maze es una variedad de ransomware que tiene sus orígenes en ChaCha, otro software malicioso del mismo tipo. Se descubrió en mayo de 2019. Los ataques con Maze tomaron impulso en diciembre de ese mismo año y, desde entonces, se han registrado víctimas en numerosos sectores.

¿Cómo funciona el ransomware Maze?

Generalmente, Maze se distribuye de las siguientes maneras:

1. A través de enlaces maliciosos o archivos adjuntos infectados (normalmente, archivos de Word o de Excel) recibidos en correos electrónicos no deseados
2. Mediante ataques de fuerza bruta de RDP
3. A través de un kit de exploits

A veces, las organizaciones afectadas descubren que el ataque llegó de manos de un cliente o socio que ya había sido víctima de los piratas informáticos. Una vez que Maze se introduce en una red, sus operadores buscan obtener derechos de administrador para poder desplegar su software de cifrado en todas las unidades. Maze es especialmente peligroso porque además de cifrar los archivos que encuentra, también los copia a un servidor controlado por los atacantes, quienes le aseguran a la víctima que, de no pagar el rescate, los hará públicos.

Aunque la víctima tenga copias de seguridad y pueda restaurarlas para volver a estar operativa, no podrá hacer nada para deshacer el hecho de que los delincuentes tengan una copia de los datos de la organización. En este sentido, sufrir un ataque de Maze equivale a sufrir un ataque de ransomware y una filtración de datos.

Sitio web del ransomware Maze

Existe un sitio web en el que los creadores de Maze publican un listado de sus víctimas (o, como ellos les llaman, «clientes»). En él, también suelen publicar, a modo de castigo, muestras de la información que roban. El sitio especifica la fecha de cada ataque y ofrece enlaces para descargar los datos y documentos sustraídos, con el objetivo de demostrar que los incidentes son reales. Los enlaces incluyen botones para compartir la información filtrada en las redes sociales. Irónico y provocativo, el eslogan del sitio es nada menos que el equivalente en inglés de «Por un mundo más seguro».

El sitio también contiene una amenaza para sus víctimas; de no pagar el rescate, harán lo siguiente:

• Harán públicos los detalles sobre las brechas de seguridad e informarán a la prensa
• Venderán la información robada que tenga valor comercial en la web oscura
• Divulgarán el ataque y la filtración de datos confidenciales a las bolsas de valores para hacer caer el precio de las acciones de la empresa
• Notificarán del incidente a los clientes y socios de la empresa víctima y usarán la información robada para atacarlos

Se cree que Maze opera bajo un modelo de «red de afiliados», en el que los desarrolladores comparten sus ganancias con los grupos que utilizan el ransomware para infectar redes empresariales.

En 2020, los responsables de Maze se aliaron con otros dos grupos de ciberdelincuentes, LockBit y RagnarLocker, con el objetivo básico de formar una suerte de «cartel del ransomware». Los delincuentes unieron sus esfuerzos y los datos robados por estos grupos se publicaron en el sitio web de Maze. Tras esta colaboración, Maze utilizó técnicas de ejecución que anteriormente solo usaba RagnarLocker.

¿El fin del ransomware Maze?

A finales de 2020, los responsables de Maze anunciaron el cese de sus actividades mediante un farragoso comunicado. El grupo, según el anuncio, dejaría de actualizar su sitio web y ponía a disposición un «chat de asistencia al cliente» en el que las víctimas podían solicitar la eliminación de sus datos.

Según el grupo, los ataques habían surgido del deseo de concienciar sobre el problema de la ciberseguridad. El anuncio también decía, en un confuso enunciado, que el grupo era solo un invento de la prensa y que nunca había existido.

Asimismo, afirmaba que había tenido acceso a los sistemas informáticos del gobierno estatal de Nueva York y a los de varios proveedores de Internet, pero que había optado por no atacarlos.

El anuncio de la disolución del grupo debe tomarse con cierto escepticismo. Los operadores del ransomware GandCrab también anunciaron su cese de actividades, pero luego reaparecieron en escena con el ransomware REvil/Sodinokibi. Se han observado similitudes entre Maze y dos nuevas variedades de ransomware conocidas como Egregor y Sekhmet, por lo que existe una gran probabilidad de que el grupo sencillamente haya decidido pasar a una nueva gama de ciberataques.

Ataques con el ransomware Maze: ejemplos

Estos son algunos de los ataques con Maze más notables:

Ataque con el ransomware Maze a Cognizant

De los ataques con Maze, uno de los más notables fue, sin duda, el que sufrió Cognizant. Esta empresa, que forma parte de la lista Fortune 500, es una de los proveedores de servicios informáticos más importantes del mundo.

El ataque a Cognizant ocurrió en abril de 2020. Obra del grupo de ransomware Maze, afectó gravemente la capacidad de la empresa para prestar servicios a sus clientes. El ransomware cifró algunos de los sistemas internos de Cognizant y obligó a desactivar otros tantos y dejarlos offline.

El ataque ocurrió en plena pandemia de COVID-19, en un momento en que el personal dependía del teletrabajo. Debido a que Maze afectó a la infraestructura de escritorios virtuales de Cognizant, los empleados tuvieron problemas para desempeñar sus funciones. El ransomware también hizo desaparecer los directorios internos, lo que entorpeció las comunicaciones entre los empleados y los contactos entre los equipos de ventas y los clientes. Parte del personal quedó incluso sin acceso a su correo electrónico.

Cognizant quedó desconectada de las redes de algunos clientes, quienes le cerraron el acceso para protegerse. Esto supuso dejar en suspenso los proyectos conjuntos. Cognizant reclutó a expertos reconocidos en seguridad informática para que ayudaran a su equipo interno. El ataque de ransomware a Cognizant también se denunció a las fuerzas del orden y los clientes de Cognizant recibieron actualizaciones constantes.

En notificaciones emitidas al respecto de las filtraciones de datos, Cognizant advirtió que los delincuentes podían haberse hecho con información personal secreta, como números de la seguridad social, números de identificación fiscal, datos financieros y detalles de pasaportes y carnets de conducir. La empresa informó a sus empleados que tenían una tarjeta de crédito corporativa que estas podrían haber quedado expuestas durante el ataque. Cognizant brindó un año gratis de servicios de vigilancia a los afectados por el ataque para hacer frente a posibles robos de identidad o problemas con la web oscura.

Se estima que las primeras respuestas al ataque tuvieron un coste para Cognizant de entre 50 y 70 millones de dólares. A esta cifra deben sumarse los gastos en los que la empresa tuvo que incurrir para restaurar al cien por cien la funcionalidad de sus sistemas informáticos.

Entre los clientes de Cognizant, destacan las empresas de servicios financieros ING y Standard Life, la compañía automovilística Mitsubishi Motors y la empresa de servicios de RR. HH. PeopleSoft. Cognizant no reveló cuáles de sus clientes se vieron afectados por el ataque.

Ataque con el ransomware Maze a Canon

En agosto de 2020, se supo que Canon había sido víctima de un ataque con el ransomware Maze. En este caso, el grupo de ciberdelincuentes logró robar 10 TB de información. El incidente afectó aproximadamente a 25 dominios diferentes de la empresa, junto con algunas de sus aplicaciones internas, incluidos sus servicios de colaboración y de correo electrónico.

Quienes utilizaban las 10 GB de almacenamiento gratuito ofrecidos por Canon también se vieron perjudicados por el ataque. La empresa admitió que todas las imágenes y datos almacenados antes del 16 de junio de 2020 se habían perdido, aunque aseguró que las imágenes en sí no se habían filtrado. Durante un tiempo, el sitio web del servicio continuó mostrando versiones en miniatura de las fotografías, pero la información original no era accesible. Si se hacía clic en las miniaturas, el sitio web respondía con un error.

Ataque con el ransomware Maze a Xerox

En julio de 2020, los operadores de Maze dijeron tener acceso a los sistemas de Xerox y amenazaron con filtrar una inmensa cantidad de información si no se les pagaba. Para demostrar que la intrusión se había producido, el grupo publicó diez capturas de pantalla en su sitio web. Estas imágenes mostraban que los delincuentes habían robado información relacionada con las operaciones de atención al cliente.

Ataque on el ransomware Maze a la ciudad de Pensacola

La ciudad de Pensacola, en el estado de Florida, sufrió un ataque a finales de 2019. En este caso, el grupo de Maze exigió un rescate de un millón de dólares para mantener en secreto la información que había robado. Se cree que el grupo extrajo más de 32 GB de información de los sistemas infectados de la ciudad. Para demostrar la veracidad del ataque, publicaron una muestra de 2 GB.

El ataque de ransomware interrumpió los pagos online de Pensacola Energy (la empresa local de suministro de gas) y de los servicios de saneamiento de la ciudad. Por suerte para los residentes, la policía, los bomberos y otros servicios siguieron operando con normalidad.

¿Es conveniente pagar el rescate si sufre un ataque con el ransomware Maze?

Pagar no es lo recomendable. Cuantas más personas paguen, más incentivos tendrán los delincuentes para realizar estos ataques en el futuro.

Dicho esto, algunas empresas sienten que pagar es el único modo de mantenerse a flote. No hay una respuesta fácil y, en última instancia, cada empresa debe tomar una decisión que se ajuste a sus circunstancias. Pero sea cual sea la decisión, es recomendable denunciar el ataque ante las autoridades y colaborar con los investigadores para que puedan dar con los responsables.

Lo que siempre es fundamental, más allá de si se paga o no el rescate, es que la empresa comprenda qué hizo posible el ataque. Descubrir qué salió mal y corregir esos fallos ayudará a evitar otros ciberataques en el futuro.

Para hacer frente al «modus operandi» de Maze, el FBI ha recomendado a las empresas que creen y utilicen cachés de información falsa. En teoría, esa información puede ayudar a ponerles freno a los delincuentes que intenten robar los archivos que son verdaderamente importantes.

Cómo protegerse del ransomware Maze

El ransomware sigue evolucionando. La mejor protección es la prevención: por lo general, una vez que el malware o los piratas informáticos han cifrado la información, es demasiado tarde para recuperarla.

Las organizaciones pueden aplicar algunas medidas para prevenir los ataques de ransomware:

1. Mantén las aplicaciones y el sistema operativo actualizados

Una buena medida para protegerse contra el malware es mantener las aplicaciones y el sistema operativo actualizados. Es importante aplicar todos los parches y actualizaciones disponibles para aplicaciones como Microsoft Office, Java, Adobe Reader y Adobe Flash, para navegadores como Internet Explorer, Chrome, Firefox y Opera, y para los complementos de esos navegadores. Cuando ejecutas una actualización, te beneficias de los parches de seguridad más recientes, lo que dificulta que los cibercriminales aprovechen las vulnerabilidades de tu software.

2. Utiliza software de seguridad

A medida que los ciberdelitos se extienden, la protección contra el ransomware se vuelve más esencial. Protege tus ordenadores del ransomware con una solución de seguridad en Internet completa como Kaspersky Internet Security. Al descargar o reproducir contenido en streaming, el software bloquea los archivos infectados, lo que evita que el ransomware infecte tu ordenador y mantiene a raya a los ciberdelincuentes.

3. Usa una VPN para acceder a la red

En lugar de exponer el Protocolo de Escritorio Remoto (RDP) a Internet, es recomendable utilizar una VPN para acceder a la red. Kaspersky Secure Connection resguarda la privacidad del usuario en Internet y permite el acceso a contenidos de todo el mundo.

4. Crea copias de seguridad

Toda organización debe contar con copias de seguridad creadas regularmente, almacenadas en una ubicación segura y externa. En caso de sufrir un ataque, estas copias servirán para recuperar la información afectada. Las copias de seguridad se pueden generar de manera automática; no es necesario depender de que un usuario se acuerde de hacerlas. Las copias de seguridad se deben controlar periódicamente para comprobar que, efectivamente, la información se esté guardando.

5. Informa y educa al personal sobre los riesgos de ciberseguridad

El personal debe saber qué metodos utilizan los ciberdelincuentes para infiltrarse en una organización de manera electrónica. Es recomendable impartir a los empleados buenas prácticas, como las siguientes:

• No hagas clic en los enlaces incluidos en los correos electrónicos de spam o en sitios web desconocidos. Las descargas que se inician al hacer clic en enlaces maliciosos son una forma de infectar los ordenadores.
• No descargues aplicaciones ni archivos multimedia de sitios web desconocidos.
• No abras archivos adjuntos de correos electrónicos de remitentes en los que no confíes. Comprueba de quién es el correo electrónico y confirma que la dirección de correo electrónico es correcta. Asegúrate de evaluar si un archivo adjunto es genuino antes de abrirlo. Si tienes dudas, ponte en contacto con la persona que crees que lo ha enviado y confírmalo.
• Si recibes una llamada, un mensaje de texto o un correo electrónico de una fuente que no sea de confianza, y en el que se te solicita información personal, no la proporciones.
• Usa únicamente tecnologías seguras para establecer conexiones remotas en la red local de la empresa.
• Usa una solución de seguridad para endpoints que cuente con tecnologías de detección de comportamientos y restauración de archivos automática, como Kaspersky Endpoint Security for Business.
• Protege tus cuentas y tu información confidencial con contraseñas complejas y que sean únicas. Además, activa la autenticación de dos factores.
• Utiliza el cifrado de datos siempre que sea posible.

Independientemente de que el grupo Maze cese sus actividades o simplemente se transforme en un nuevo grupo delincuente, la amenaza del ransomware no cesa. Como siempre, resulta vital tener los ojos bien abiertos para hacer frente a los cambios que ocurren día a día en el terreno de las ciberamenazas.

Artículos relacionados:

• Tipos de ransomware
• Cómo evitar los ataques de ransomware
• ¿Cuáles son los diferentes tipos de ransomware?
• ¿Qué es la ventana emergente en la que se indica que se ha detectado ransomware?
• ¿Qué es una brecha de seguridad?