TOP Malware Series: Maze Ransomware

Actualizado: jun 29



¿Qué es Maze?

Maze es un malware de tipo Ransomware, cuyo objetivo principal es el cifrado de la información dentro del equipo víctima para exigir un pago en Bitcoins por el rescate.


Si la victima se niega a pagar y no hay acuerdo, los actores detrás de Maze publican la información obtenida en la intrusión a la red interna exponiendo a la empresa víctima a otros riesgos y amenazas.


La siguiente imagen corresponde al mensaje que deja Maze un equipo Windows que acaba de ser cifrado.

Así luce el panel de administración de Maze, desde donde los cibercriminales llevan el control de las víctimas, equipos infectados, pagos, etc.

Y así luce el sitio de noticias de Maze donde publican la información obtenida desde las empresas víctimas que se han negado a pagar el rescate.


Algunas Entidades Afectadas


Características de Maze


  • Cifra los archivos utilizando RSA-2048 y Algoritmo "ChaCha".

  • Roba información personal y de la organización.

  • Genera persistencia dentro de la red.

  • Movimiento lateral vía RDP / SMB

  • Si la victima se niega a pagar, los datos son publicados en Internet.

  • Los exploit kits más utilizados por Maze fueron Fallout y Spelevo.

  • Explota vulnerabilidad CVE-2018-15982 para propagarse en la red local de la victima.


Distribución de Maze


Maze se ha distribuído utilizando los exploit kits de Spelevo y Fallout y explotando también la vulnerabiliad CVE-2018-15982 en Flash Player.

Flujo de Infección


Objetivos Geográficos de Maze


Maze ha estado presente en múltiples países de habla inglesa desde sus inicios de actividad a fines de mayo del 2019. Los países dentro de la lista son Estados Unidos, Canadá, Brasil, México, Islandia, Reino Unido, España, Francia, Alemania, Irlanda Bélgica, Países Bajos, Suiza, Italia, China y Japón, principalmente. Mucho del flujo de ataques se concentra en norte américa y Europa.


Indicadores de Compromiso


Direcciones IP


192.168.100.96

192.168.100.115

91.218.114.11

91.218.114.4

91.218.114.79

91.218.114.26

91.218.114.25

91.218.114.31

91.218.114.38

91.218.114.77

91.218.114.37

91.218.114.32

91.218.114.37

91.218.114.32

91.218.114.31

91.218.114.26

91.218.114.25

Hashes


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



CVE usados por Maze


  • CVE-2018-8174

  • CVE-2018-15982

  • CVE-2018-4878

  • CVE-2019-11510

Recomendaciones de seguridad


  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).


Artículos relacionados


#Maze #Ransomware

CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social