El ransomware es una amenaza creciente para la seguridad de las redes empresariales. En el tercer trimestre de 2020, Check Point Research informó de un aumento del 50% en la media diaria de ataques de ransomware en comparación con la primera mitad del año.
Aunque el ransomware existe desde hace décadas, solo se hizo famoso con el ataque de ransomware WannaCry de 2017. Otros ciberdelincuentes, observando el éxito de WannaCry han desarrollado sus propias variantes de ransomware y lanzado sus propias campañas de ataque. Maze es una de estas nuevas variantes de ransomware. Ha existido durante varios años, pero hizo historia al ser pionera en el rescate de "doble extorsión" en 2019.
En el pasado, el ransomware funcionaba con un modelo de negocio sencillo: cifrar los archivos de las personas y luego exigir un rescate si quieren recuperar el acceso. Sin embargo, este enfoque solo funciona si el objetivo paga el rescate. Algunas víctimas del ransomware pudieron restaurar a partir de copias de seguridad, mientras que otras aceptaron la pérdida y adoptaron el enfoque de "no alimentar a los animales" frente a los operadores del ransomware.
Debido a la caída de sus ingresos, el grupo de ransomware Maze decidió modificar su estrategia, combinando un ataque tradicional de ransomware y una violación de datos en una sola campaña. Conseguirían acceder a la red de una organización, robarían una gran cantidad de información sensible y luego lo encriptarían todo. Si el objetivo se negaba a pagar el rescate, el grupo Maze amenazaba con exponer públicamente sus datos robados o venderlos al mejor postor.
Este enfoque aumentó la probabilidad de éxito de Maze porque la publicación de datos robados puede hacer que una organización pierda una ventaja competitiva (si la propiedad intelectual y los secretos comerciales se revelan a un competidor) y potencialmente entre en conflicto con las regulaciones de protección de datos (debido a la pérdida de datos de clientes protegidos por GDPR, CCPA, etc.).
A alto nivel, Maze no es diferente de cualquier otra variante de ransomware. Todos ellos se aprovechan del hecho de que los algoritmos cifrados que se utilizan hoy en día son irrompibles con la tecnología moderna. Si los datos están cifrados, solo la persona con la clave de descifrado correspondiente (en este caso, el grupo Laberinto) puede acceder a los datos originales. Como resultado, todo lo que el ransomware necesita hacer es cifrar los archivos, borrar los originales y cualquier copia de seguridad, y asegurarse de que la única copia de la clave de cifrado se envía a los operadores del ransomware.
A pesar de ello, no todas las variantes y campañas de ransomware son idénticas. Una forma en la que las variantes de ransomware difieren es en su elección del vector de infección inicial y en cómo se propagan por la red. Maze suele obtener acceso a través de correos electrónicos de phishing y, a continuación, utiliza diversas técnicas para desplazarse lateralmente por la red, lo que le permite infectar más máquinas.
Por último, Maze se diferenciaba de otros ransomware por ser pionero en la mencionada estrategia de "doble extorsión". Aunque otros grupos de ransomware han seguido sus pasos, el grupo Maze fue el primero en robar datos de sus máquinas objetivo y, a continuación, cifrarlos.
En el pasado, el ransomware se centraba en denegar a los usuarios el acceso a sus archivos. Esto se logró encriptando los archivos y luego exigiendo un rescate por la clave de descifrado. Con estas variantes originales de ransomware, existían varias opciones para protegerse contra ellas. El simple hecho de disponer de una copia de seguridad segura de los datos, a partir de la cual se pudieran restaurar los archivos encriptados una vez finalizado el ataque, fue suficiente para mitigar los impactos del malware.
Con Maze, restaurar desde una copia de seguridad no es suficiente. Como parte de su ataque, Maze roba datos que el ciberdelincuente amenaza con publicar si no se paga el rescate. Para eliminar el riesgo de una violación de datos y las sanciones reglamentarias y legales asociadas, una organización necesita detectar y bloquear el ataque del ransomware Maze antes de que pueda hacer su daño.
Aquí es donde entran en juego SandBlast red y SandBlast Agent de Check Point. SandBlast ayuda a una organización a abordar todas las fases de un ataque de ransomware Maze:
Maze es una variante sofisticada de ransomware; sin embargo, eso no significa que sea imposible de detectar y derrotar. Check Point ha publicado un vídeo en el que demuestra cómo se puede detectar Maze mediante la caza de amenazas utilizando el marco MITRE ATT&CK.
La línea de productos SandBlast de Check Point es ideal para proteger a las organizaciones contra los ataques del ransomware Maze. Pruebe usted mismo la protección de terminales de Check Point con una versión de prueba gratuita del agente SandBlast. En el nivel rojo, compruebe la protección contra el ransomware Maze con una demostración de SandBlast Network.