Cos'è il ransomware Maze?
Sebbene il ransomware sia in circolazione da decenni, è diventato famoso solo con l’attacco ransomware WannaCry del 2017. Altri criminali informatici, notando il successo di WannaCry, hanno sviluppato le proprie varianti di ransomware e lanciato le proprie campagne di attacco. Maze è una di queste nuove varianti di ransomware. È in circolazione da diversi anni, ma ha fatto la storia aprendo la strada al riscatto della "doppia estorsione" nel 2019.
In passato, i ransomware operavano secondo un modello di business semplice: crittografare i file delle persone e poi chiedere un riscatto se volevano riottenere l'accesso. Tuttavia, questo approccio funziona solo se il bersaglio paga il riscatto. Alcune vittime del ransomware sono riuscite a eseguire il ripristino dai backup, mentre altre hanno accettato la perdita e hanno adottato un approccio del tipo “non dare da mangiare agli animali” nei confronti degli operatori di ransomware.
A causa del calo dei ricavi, il gruppo ransomware Maze ha deciso di modificare la propria strategia, combinando un attacco ransomware tradizionale e una violazione dei dati in un'unica campagna. Avrebbero accesso alla rete di un'organizzazione, ruberebbero una grande quantità di informazioni sensibili e quindi crittograferebbero tutto. Se l'obiettivo si rifiutava di pagare il riscatto, il gruppo Maze minacciava di esporre pubblicamente i propri dati rubati o di venderli al miglior offerente.
Questo approccio ha aumentato le probabilità di successo di Maze perché la pubblicazione di dati rubati può causare la perdita di vantaggio competitivo di un'organizzazione (se la proprietà intellettuale e i segreti commerciali vengono rivelati a un concorrente) e potenzialmente entrare in conflitto con le normative sulla protezione dei dati (a causa della perdita di dati dei clienti protetti da GDPR, CCPA, ecc.).
Come funziona il ransomware Maze?
Ad alto livello, Maze non è dissimile da qualsiasi altra variante di ransomware. Tutti sfruttano il fatto che gli algoritmi di crittografia in uso oggi sono indistruttibili con la tecnologia moderna. Se i dati sono crittografati, solo la persona con la chiave di decrittografia corrispondente (in questo caso, il gruppo Maze) può accedere ai dati originali. Di conseguenza, tutto ciò che il ransomware deve fare è crittografare i file, eliminare gli originali ed eventuali backup e garantire che l'unica copia della chiave di crittografia venga inviata agli operatori del ransomware.
Nonostante ciò, non tutte le varianti e le campagne di ransomware sono identiche. Una delle differenze tra le varianti di ransomware risiede nella scelta del vettore iniziale dell’infezione e nel modo in cui si diffondono attraverso la rete. Maze in genere ottiene l'accesso tramite e-mail di phishing, quindi utilizza una varietà di tecniche diverse per spostarsi lateralmente attraverso la rete, consentendogli di infettare più macchine.
Infine, Maze si differenziava dagli altri ransomware per essere stato il pioniere della già citata strategia della “doppia estorsione”. Mentre altri gruppi di ransomware hanno seguito le loro orme, il gruppo Maze è stato il primo a rubare dati dai computer presi di mira, per poi crittografarli.
Come proteggersi dal ransomware Maze
In passato, i ransomware si concentravano sul negare agli utenti l’accesso ai propri file. Ciò è stato ottenuto crittografando i file e quindi chiedendo un riscatto per la chiave di decrittazione. Con queste varianti ransomware originali, esistevano diverse opzioni per proteggersi da esse. Per mitigare l’impatto del malware è stato sufficiente disporre semplicemente di un backup sicuro dei dati, da cui poter ripristinare i file crittografati una volta completato l’attacco.
Con Maze, il ripristino da un backup non è sufficiente. Come parte del suo attacco, Maze ruba i dati che il criminale informatico minaccia di rilasciare se il riscatto non viene pagato. Per eliminare il rischio di una violazione dei dati e le relative sanzioni normative e legali, un’organizzazione deve rilevare e bloccare l’attacco del ransomware Maze prima che possa causare danni.
È qui che entrano in gioco SandBlast rete e SandBlast Agent di Check Point. SandBlast aiuta un'organizzazione ad affrontare ogni fase di un attacco ransomware Maze:
- Prevenzione: SandBlast Network e SandBlast Agent proteggono la rete e gli endpoint dell'organizzazione. Ciò aiuta a rilevare e bloccare il ransomware Maze prima che possa accedere a un dispositivo di destinazione.
- Rilevamento: SandBlast Threat Hunting aiuta un'organizzazione a rilevare infezioni ransomware Maze nascoste nella rete. Ciò potrebbe consentire l'eliminazione del malware prima che venga causato qualsiasi danno.
- Investigazione: Check Point Infinity SOC aiuta a rilevare i dispositivi infetti sulla rete. Ciò consente loro di essere messi in quarantena per fermare la diffusione di Maze e supporta la correzione e il recupero.
- Recupero: SandBlast Forensics Report supporta il recupero completo dei file crittografati. SandBlast Agent non dipende dalla copia shadow del computer per il ripristino dei file, che i ransomware in genere eliminano.
Protezione dal ransomware Maze con Check Point
Maze è una sofisticata variante del ransomware; tuttavia, ciò non significa che sia impossibile da individuare e sconfiggere. Check Point ha pubblicato un video che mostra come Maze può essere rilevato tramite la caccia alle minacce utilizzando il framework MITRE ATT&CK.
La linea di prodotti SandBlast di Check Point è ideale per proteggere le organizzazioni dagli attacchi ransomware Maze. Prova tu stesso la protezione endpoint di Check Point con una prova gratuita di SandBlast Agent. A livello di rete, dai un'occhiata alla protezione ransomware Maze con una dimostrazione di SandBlast Network.
Feedback