O ransomware é uma ameaça crescente à segurança da rede corporativa. No terceiro trimestre de 2020, a Check Point Research relatou um aumento de 50% na média diária de ataques de ransomware em comparação com o primeiro semestre do ano.
Embora o ransomware exista há décadas, ele só ficou famoso com o ataque do ransomware WannaCry em 2017. Outros criminosos cibernéticos, observando o sucesso do WannaCry, desenvolveram suas próprias variantes de ransomware e lançaram suas próprias campanhas de ataque. O Maze é uma dessas novas variantes de ransomware. Ela já existe há vários anos, mas fez história ao ser pioneira no resgate de "dupla extorsão" em 2019.
No passado, o ransomware operava com um modelo de negócios simples: criptografar os arquivos das pessoas e, em seguida, exigir um resgate se elas quisessem recuperar o acesso. No entanto, essa abordagem só funciona se o alvo pagar o resgate. Algumas vítimas de ransomware conseguiram restaurar a partir de backups, enquanto outras aceitaram a perda e adotaram uma abordagem do tipo "não alimente os animais" em relação aos operadores de ransomware.
Devido à queda nas receitas, o grupo de ransomware Maze decidiu modificar sua estratégia, combinando um ataque tradicional de ransomware e uma violação de dados em uma única campanha. Eles teriam acesso à rede de uma organização, roubariam uma grande quantidade de informações confidenciais e, em seguida, criptografariam tudo. Se o alvo se recusasse a pagar o resgate, o grupo Maze ameaçaria expor publicamente os dados roubados ou vendê-los a quem pagasse mais.
Essa abordagem aumentou a probabilidade de sucesso da Maze, pois a publicação de dados roubados pode fazer com que uma organização perca vantagem competitiva (se a propriedade intelectual e os segredos comerciais forem revelados a um concorrente) e, potencialmente, entre em conflito com os regulamentos de proteção de dados (devido à perda de dados de clientes protegidos pelo GDPR, CCPA etc.).
Em um nível elevado, o Maze não é diferente de qualquer outra variante de ransomware. Todos eles aproveitam o fato de que os algoritmos de criptografia em uso atualmente são inquebráveis com a tecnologia moderna. Se os dados forem criptografados, somente a pessoa com a chave de descriptografia correspondente (nesse caso, o grupo Maze) poderá acessar os dados originais. Como resultado, tudo o que o ransomware precisa fazer é criptografar os arquivos, excluir os originais e quaisquer backups e garantir que a única cópia da chave de criptografia seja enviada aos operadores do ransomware.
Apesar disso, nem todas as variantes e campanhas de ransomware são idênticas. Uma maneira pela qual as variantes de ransomware diferem é na escolha do vetor de infecção inicial e na forma como se espalham pela rede. O Maze normalmente obtém acesso por meio de e-mails de phishing e, em seguida, usa uma variedade de técnicas diferentes para se mover lateralmente pela rede, permitindo que infecte mais máquinas.
Por fim, a Maze se diferenciou de outras ransomware por ser pioneira na estratégia de "dupla extorsão" mencionada anteriormente. Embora outros grupos de ransomware tenham seguido seus passos, o grupo Maze foi o primeiro a roubar dados de suas máquinas-alvo e, em seguida, criptografar os dados.
No passado, o ransomware se concentrava em negar aos usuários o acesso a seus arquivos. Isso era feito criptografando os arquivos e depois exigindo um resgate pela chave de descriptografia. Com essas variantes originais de ransomware, havia várias opções para se proteger contra elas. O simples fato de ter um backup seguro dos dados, a partir do qual os arquivos criptografados poderiam ser restaurados após a conclusão do ataque, foi suficiente para atenuar os impactos do malware.
Com o Maze, a restauração a partir de um backup não é suficiente. Como parte de seu ataque, o Maze rouba dados que o criminoso cibernético ameaça liberar se o resgate não for pago. Para eliminar o risco de uma violação de dados e as penalidades legais e regulamentares associadas, a organização precisa detectar e bloquear o ataque do ransomware Maze antes que ele possa causar danos.
É nesse ponto que o SandBlast rede e o SandBlast Agent da Check Point entram em ação. O SandBlast ajuda a organização a lidar com todos os estágios de um ataque do ransomware Maze:
O Maze é uma variante sofisticada de ransomware; no entanto, isso não significa que seja impossível detectá-lo e derrotá-lo. A Check Point publicou um vídeo demonstrando como o Maze pode ser detectado pela caça a ameaças usando a estrutura MITRE ATT&CK.
A linha de produtos SandBlast da Check Point é ideal para proteger as organizações contra ataques de ransomware Maze. Experimente você mesmo a proteção de endpoint da Check Point com uma avaliação gratuita do SandBlast Agent. No nível da rede, confira a proteção contra ransomware do Maze com uma demonstração da SandBlast Network.