Maze - это ransomware - тип вредоносного ПО, которое шифрует файлы жертвы и восстанавливает данные в обмен на получение выкупа. Одной из наиболее отличительных особенностей Maze является то, что это одна из первых вредоносных программ такого рода, которая публично обнародовала украденные данные.
1 ноября 2020 года "команда", стоящая за ransomware Maze, опубликовала свой претенциозный пресс-релиз о завершении "проекта" и прекращении работы. В отличие от некоторых других групп, создающих программы-вымогатели, они не опубликовали ключи шифрования.
Что такое вредоносная программа Maze?
Maze, также называемый ChaCha, является ransomware - вредоносной программой, которая шифрует файлы жертвы и требует выкуп в обмен на ключ дешифровки, восстанавливающий информацию. Отличительной особенностью Maze является то, что она публично раскрывает конфиденциальные файлы, если не заплатить выкуп.
Maze ransomware активно работает с 2019 года, и, к сожалению, с тех пор количество атак этого вредоносного ПО неуклонно растет.
Общее описание Maze ransomware
Это не новая стратегия среди операторов ransomware - угрожать обнародованием конфиденциальных данных, если жертва не уступит требованиям преступников. Однако до появления Maze большинство таких угроз оставались практически бездейственными. Они служили психологическим оружием, помогая злоумышленникам заставить жертву заплатить.
Однако с появлением Maze ситуация кардинально изменилась.
В ноябре 2019 года группе, стоящей за Maze, удалось проникнуть в Allied Universal - одну из ведущих частных охранных компаний в США. Кибербанда заявила, что получила полный контроль над сетью Allied Universal, и пригрозила обнародовать данные, если компания не заплатит.
Allied Universal решила проигнорировать требования. В ответ хакеры, стоящие за вирусом, сначала связались с известным сайтом компьютерной помощи, попросив его опубликовать статью об атаке, чтобы послужить общественным предупреждением. Когда сайт отказался, банда Maze загрузила 700 Мб конфиденциальной информации на подпольный форум. Среди этих данных были списки активных пользователей, сертификаты электронной почты, ключи шифрования и многое другое.
В ходе другой атаки Maze ransomware были обнародованы 2 ГБ файлов, принадлежащих городу Пенсакола. Атака нанесла серьезный ущерб компьютерной сети Пенсаколы, вынудив ее временно отключить сеть. В связи с утечкой данных организаторы вируса заявили, что информация была обнародована в качестве доказательства, показывающего, насколько глубоко им удалось проникнуть в сеть.
Это очень важный момент, касающийся Maze. Исследователи должны отметить, что в значительной степени после появления Maze атаки вымогателей можно считать утечкой данных, так как все больше и больше штаммов вымогателей обретают способность проникать в сети и выполнять действия по краже данных перед шифрованием файлов.
Более того, в случае с Maze даже резервные копии не являются безопасными. Более того, иногда они становятся точкой недели. Создатели Maze рассказали, что после заражения начальной конечной точки их программа-вымогатель нацеливается на облачные резервные копии, распространяясь по сети и похищая необходимые учетные данные. Это полезно для угроз не только потому, что позволяет удалить резервную копию до шифрования, но и потому, что эта резервная копия, скорее всего, содержит наиболее ценные данные.
К сожалению, эта тактика оказалась эффективной, поскольку по крайней мере одна компания стала ее жертвой и потеряла свои резервные копии. Конечно, подобный инцидент может произойти только в том случае, если учетные данные резервного копирования хранятся в скомпрометированной сети, поэтому правильная настройка резервного копирования невероятно важна.
Следует также отметить, что вирус использует несколько продвинутых техник обфускации кода, которые делают статический анализ очень сложным. Очевидно, что создатели вируса следят за тем, как исследователи безопасности работают над их вредоносным ПО. Они связываются со средствами массовой информации, занимающимися вопросами кибербезопасности, и любят дразнить профессионалов отрасли, играя в кошки-мышки.
Процесс выполнения Maze
Процесс выполнения Maze является типичным для этого типа вредоносных программ, например, Phobos или Sodinokibi. После того как исполняемый файл попадает в зараженную систему и запускается, начинается основная вредоносная деятельность. После начала исполнения ransomware удаляет теневые копии. После шифрования всех целевых файлов Maze выводит на рабочий стол записку с требованием выкупа. Он также часто меняет обои на свои собственные с текстом о выкупе.
Примечательно, что, как и Sodinokibi aka REvil ransomware, это семейство имеет схожую инфраструктуру - сайты с "техподдержкой", информацией о криптовалюте и способах ее покупки, пробной расшифровкой и чатом. Мошенники, стоящие за Maze ransomware, также ведут себя довольно самоуверенно и размещают на своем сайте ссылки на информацию о своих успешных атаках.
Распространение ransomware Maze
Maze распространяется несколькими различными способами. Он использует наборы эксплойтов Spelevo и Fallout, а одной из уязвимостей, на которую нацелен Maze, является уязвимость CVE-2018-15982 во Flash Player. Стоит также отметить, что в случае с набором Fallout пользователи перенаправлялись на эксплойт с поддельной криптовалютной торговой платформы.
Еще один наблюдаемый вектор атаки - спам-кампании по электронной почте, содержащие документ Microsoft Office с вредоносным макросом.
Как обнаружить вредоносное ПО Maze?
Maze ransomware можно обнаружить по разным действиям - иногда она создает определенные файлы или может быть обнаружена сетевыми угрозами Suricata. Наиболее распространенной является записка о выкупе Maze - она не только имеет сходство с записками других задач, но и содержит самоопределяющиеся строки: maze ransomware, mazedecrypt и maze key.
Заключение
Maze представляет собой серьезную угрозу для организаций и частных пользователей. Этот вирус не только шифрует информацию, но и вынуждает жертву заплатить выкуп, угрожая раскрыть конфиденциальную информацию. К сожалению, Maze запустил небольшую тенденцию среди угрожающих субъектов, и все больше и больше ransomware в природе начинают демонстрировать подобное поведение.
Ситуация осложняется продвинутыми техниками обфускации кода, которыми обладает Maze, что делает процесс статического анализа довольно сложным.