Maze logiciel rançonneur – Double Extortion Attack

Le logiciel Rançonneur est une menace croissante pour la sécurité des réseaux d’entreprise. Au troisième trimestre 2020, Recherche aux points de contrôle a fait état d’une augmentation de 50 % de la moyenne quotidienne des attaques de logiciels rançonneurs par rapport au premier semestre de l’année.

Parlez à un expert En savoir plus

Qu’est-ce que Maze logiciel rançonneur ?

Bien que le logiciel rançonneur existe depuis des décennies, il n’est devenu célèbre qu’avec l’attaque WannaCry de 2017 contre le logiciel rançonneur. D’autres cybercriminels, constatant le succès de WannaCry, ont développé leurs propres variantes de logiciels rançonneur et lancé leurs propres campagnes d’attaque. Maze est l’une de ces nouvelles variantes de logiciels rançonneur. Elle existe depuis plusieurs années, mais elle est entrée dans l'histoire en lançant la « double extorsion » de rançon en 2019.

Dans le passé, les logiciels rançonneur fonctionnaient sur un modèle économique simple : crypter les fichiers des gens, puis exiger une rançon s’ils voulaient en retrouver l’accès. Cependant, cette approche ne fonctionne que si la cible paie la rançon. Certaines victimes de logiciels rançonneurs ont pu restaurer à partir de sauvegardes, tandis que d’autres ont accepté la perte et ont adopté une approche « ne nourrissez pas les animaux » pour les opérateurs de logiciels rançonneur.

En raison de la baisse de son chiffre d’affaires, le groupe Maze logiciel rançonneur a décidé de modifier sa stratégie, combinant une attaque classique de logiciel rançonneur et une violation de données au sein d’une même campagne. Ils accédaient au réseau d’une organisation, volaient une grande quantité d’informations sensibles, puis chiffraient tout. Si la cible refusait de payer la rançon, le groupe Maze menacerait de révéler publiquement ses données volées ou de les vendre au plus offrant.

Cette approche a augmenté les chances de succès de Maze, car la publication de données volées peut faire perdre à une organisation un avantage concurrentiel (si des informations de propriété intellectuelle et des secrets commerciaux sont révélés à un concurrent) et potentiellement enfreindre les réglementations en matière de protection des données (en raison de la perte de données clients protégées par le RGPD, le CCPA, etc.).

Comment fonctionne Maze logiciel rançonneur ?

À un niveau élevé, Maze n’est pas différent de n’importe quelle autre variante de logiciel rançonneur. Tous profitent du fait que les algorithmes de chiffrement utilisés aujourd’hui sont incassables avec la technologie moderne. Si les données sont cryptées, seule la personne possédant la clé de déchiffrement correspondante (dans ce cas, le groupe Maze) peut accéder aux données d'origine. Par conséquent, tout ce que le logiciel rançonneur a à faire est de chiffrer les fichiers, de supprimer les originaux et les sauvegardes, et de s’assurer que la seule copie de la clé de chiffrement est envoyée aux opérateurs du logiciel rançonneur.

Malgré cela, toutes les variantes et campagnes de logiciels rançonneur ne sont pas identiques. L’une des différences entre les variantes du logiciel rançonneur réside dans le choix du vecteur d’infection initial et la façon dont elles se propagent dans le réseau. Maze obtient généralement l’accès via des e-mails d’hameçonnage, puis utilise une variété de techniques différentes pour se déplacer latéralement sur le réseau, ce qui lui permet d’infecter davantage de machines.

Enfin, Maze se distingue des autres logiciels rançonneurs par le fait qu’il a été le pionnier de la stratégie de la « double extorsion » susmentionnée. Alors que d’autres groupes de logiciels rançonneurs ont suivi leurs traces, le groupe Maze a été le premier à voler les données de leurs machines cibles, puis à chiffrer les données.

Comment se protéger contre Maze logiciel rançonneur

Dans le passé, les logiciels rançonneur se concentraient sur le refus d’accès aux fichiers des utilisateurs. Cela a été fait en chiffrant les fichiers puis en demandant une rançon pour la clé de déchiffrement. Avec ces variantes originales de logiciels rançonneurs, un certain nombre d’options existaient pour s’en protéger. Le simple fait de disposer d’une sauvegarde sécurisée des données, à partir de laquelle les fichiers cryptés pouvaient être restaurés une fois l’attaque terminée, suffisait à atténuer les impacts du logiciel malveillant.

Pour Maze, restaurer à partir d'une sauvegarde ne suffit pas. Dans le cadre de son attaque, Maze vole des données que le cybercriminel menace de divulguer si la rançon n'est pas payée. Pour éliminer le risque d’une violation de données et les sanctions réglementaires et juridiques associées, une organisation doit détecter et bloquer l’attaque de Maze logiciel rançonneur avant qu’elle ne puisse faire ses dégâts.

C’est là que le réseau SandBlast et l’agent SandBlast de Point de contrôle entrent en jeu. SandBlast aide une organisation à faire face à chaque étape d’une attaque de ransomware du logiciel Maze :

  • Prévention: SandBlast Network et SandBlast Agent protègent le réseau et la publication de l’organisation. Cela permet de détecter et de bloquer Maze logiciel rançonneur avant qu’il n’accède à un appareil cible.
  • Détection: SandBlast Threat Hunting aide une organisation à détecter les infections cachées par le logiciel Maze sur le réseau. Cela peut permettre de supprimer le logiciel malveillant avant que des dommages ne soient causés.
  • Enquête: Point de contrôle Infinity SOC permet de détecter les appareils infectés sur le réseau. Cela permet de les mettre en quarantaine pour stopper la propagation de Maze et favorise la restauration et la restauration.
  • Récupération: Le rapport d’investigation de SandBlast prend en charge la récupération complète des fichiers cryptés. SandBlast Agent ne dépend pas du cliché instantané de l’ordinateur pour la récupération des fichiers, que le logiciel rançonneur supprime généralement.

Protecting Against Maze logiciel rançonneur with Point de contrôle

Maze est une variante sophistiquée du logiciel rançonneur ; Cependant, cela ne signifie pas qu’il est impossible de le détecter et de le vaincre. Point de contrôle a publié une vidéo démontrant comment Maze peut être détecté par la chasse aux menaces à l’aide du framework MITRE ATT&CK.

La gamme de produits SandBlast de Point de contrôle est parfaitement adaptée à la protection des organisations contre les attaques de ransomware de Maze logiciel. Essayez par vous-même la protection postale de Point de contrôle avec un essai gratuit de SandBlast Agent. Au niveau du réseau, découvrez Maze logiciel rançonneur protection avec une démonstration de SandBlast Network.

Commencez

Antiransomwares

Protection des postes

logiciel rançonneur Hub

Zero Trust Security

Sujets connexes

Mobile logiciel rançonneur

Ryuk logiciel rançonneur

Comment prévenir les logiciels rançonneur ?

Qu’est-ce que le logiciel rançonneur Attack ?

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d’analyse et de marketing. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Pour plus d’informations, veuillez lire notre Avis sur les cookies.
OK