6 ago. 2020

Ransomware Maze: "casos de éxito" en LG, Xerox y Canon

Los operadores del ransomware Maze han publicado decenas de GB de datos internos de las redes de gigantes empresariales empresariales LG y Xerox luego de dos intentos fallidos de extorsión. Los delincuente filtraron 50,2 GB que afirman haber robado de la red interna de LG y 25,8 GB de datos de Xerox.

Ambas filtraciones de hoy se han provocado desde finales de junio cuando los operadores del ransomware Maze crearon entradas para cada una de las dos compañías en su "portal de filtraciones".

El grupo Maze es conocido principalmente por su cadena homónima de ransomware y generalmente opera violando redes corporativas, robando archivos confidenciales primero, cifrando datos en segundo lugar y exigiendo un rescate para descifrar los archivos.

Si una víctima se niega a pagar la tarifa para descifrar sus archivos y decide restaurar a partir de copias de seguridad, la pandilla Maze crea una entrada en un "sitio web de fugas" y amenaza con publicar los datos confidenciales de la víctima en un segundo intento de extorsión y rescate.

Luego, a la víctima se le dan algunas semanas para reflexionar sobre su decisión, y si las víctimas no ceden durante este segundo intento de extorsión, la pandilla Maze publica archivos en su portal.

LG y Xerox

LG y Xerox están en esta última etapa, después de aparentemente negarse a cumplir con las demandas de la pandilla Maze. ZDNet ha estado rastreando ambos incidentes desde que se anunciaron inicialmente en el sitio web de Maze a fines de junio.

Basado en capturas de pantalla compartidas por la pandilla Maze el mes pasado y en muestras de archivos descargados y revisados ​​por ZDNet, los datos parecen contener el código fuente del firmware de fuente cerrada de varios productos LG, como teléfonos y computadoras portátiles.

Las cosas son mucho más confusas cuando se trata de Xerox. No está claro qué sistemas internos cifró la pandilla Maze, o si los archivos fueron robados y rescatados sin cifrado, similar al incidente de LG.

Basado en una revisión superficial de los datos filtrados en línea, parece que Maze ha robado datos relacionados con las operaciones de soporte al cliente.

Canon

La multinacional Canon también habría sido víctima de un ataque de ransomware lanzado por el grupo Maze contra sus servicios de correo electrónico y almacenamiento y su sitio web de EE.UU. el pasado 30 de julio. Maze había amenazado con filtrar las fotos y los datos si no se paga un rescate con criptomonedas.

El sitio "image.canon" estuvo fuera de línea durante seis días durante los cuales mostró actualizaciones. Volvió a estar en servicio el 4 de agosto. Canon publicó una declaración ese día sobre el ataque diciendo que no se habían filtrado datos de imágenes ni miniaturas de las fotos almacenadas en el servicio en la nube.

Sin embargo, BleepingComputer confirmó la gravedad del ataque el 5 de agosto y dijo que la pandilla de ransomware afirmó que había logrado robar casi 10 TB de fotos, archivos y otros datos. La publicación informó una notificación enviada por el departamento de IT de Canon a través de su red de toda la empresa que confirmó que "problemas generalizados del sistema" afectaron a múltiples aplicaciones.

Brett Callow, analista de amenazas en el laboratorio de malware Emsisoft, confirmó que la conocida pandilla de ransomware Maze estaba detrás de los ataques contra la multinacional japonesa. Callow agrega que el ransomware solía afectar principalmente a las empresas más pequeñas, pero las empresas más grandes ahora son víctimas con una frecuencia cada vez mayor.

Los expertos de Emsisoft creen que la posibilidad de que los datos sean robados en un ataque de ransomware en particular ahora es mayor que uno de cada diez, citando un estudio reciente publicado por el laboratorio de malware.

Accesos vía Citrix

En una entrevista con la compañía de inteligencia de amenazas Bad Packets en junio, Troy Mursch, cofundador de la compañía, le dijo a ZDNet que ambas compañías tenían servidores Citrix ADC que en un momento u otro quedaron sin parches y vulnerables en línea, según los escaneos de Internet de su compañía. Los servidores eran vulnerables a la vulnerabilidad CVE-2019-19781, que Mursch describió como "el vector de compromiso favorito de Maze". Probablemente esta vulnerabilidad sea la misma que se aprovecho en el caso de Telecom Argentina.

Irónicamente, el mismo día en que la banda Maze filtró los archivos de LG en su portal de filtraciones, la firma de inteligencia de amenazas Shadow Intelligence le dijo a ZDNet en un correo electrónico que otro hacker estaba vendiendo el acceso al centro de investigación y desarrollo (I + D) de LG America en un foro de hacking. El precio inicial fue de entre U$S 10.000 y U$S 13.000, según algunas capturas de pantalla.

El investigador de seguridad Vitali Kremez ha publicado una regla de Yara que puede usarse para detectar la DLL de Maze Ransomware.

Fuentes: ZDNet | Cointelegraph | BC 1 | BC 2

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!