Программа-вымогатель Maze – это разновидность программ-вымогателей для Windows, нацеленная на компании, работающие во многих отраслях по всему миру. Как и другие виды программ-вымогателей, Maze требует выкуп за безопасное восстановление зашифрованных данных в криптовалюте.
Если жертвы отказываются платить, программа-вымогатель Maze угрожает утечкой конфиденциальных данных. Такое поведение характерно для новых видов программ-вымогателей, включая REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop и другие.
Программа-вымогатель Maze была впервые обнаружена в мае 2019 года. Она была разработана как вариант вируса ChaCha. С декабря 2019 года во многих отраслях наблюдалась высокая частота атак Maze.
В некоторых случаях атака может исходить от клиента или партнера компании, который уже стал жертвой злоумышленников. Как только Maze получает доступ к сети, злоумышленники пытаются получить повышенные привилегии, чтобы развернуть шифрование файлов на всех дисках. Maze особенно опасен, поскольку пересылает обнаруженные данные на серверы, контролируемые злоумышленниками, а те, в свою очередь, угрожают опубликовать данные, если не будет уплачен выкуп.
Компании могут восстановить данные из защищенной резервной копии, чтобы возобновить работу (если сама резервная копия не была взломана), но это не отменяет факта, что у преступников теперь есть копия данных компании. По сути, действия Maze представляют собой комбинацию атаки программы-вымогателя и утечки данных.
У создателей Maze есть собственный веб-сайт, где они перечисляют своих жертв (которых они называют «клиентами»). На этом веб-сайте они часто публикуют образцы украденных данных в качестве наказания. Веб-сайт содержит подробную информацию о том, когда была совершена атака программы-вымогателя Maze, а также ссылки на загрузку «доказательств» – украденных данных и документов. Как ни странно, на сайте есть ироничный слоган «Сохраняем мир в безопасности» и даже есть кнопки «Поделиться» для публикации подробностей об утечках данных в социальных сетях.
На веб-сайте Maze злоумышленники предупреждает своих жертв, что, если они не выплатят выкуп:
Считается, что Maze работает через аффилированную сеть, в которой разработчики делятся своими доходами с различными группами, использующими Maze для атак на сети компаний.
В 2020 году злоумышленники, стоящие за Maze, объединились с двумя другими киберпреступными группировками, LockBit и RagnarLocker, образовав, по сути, картель вымогателей. Они объединили усилия, и украденные этими группами данные были опубликованы на сайте Maze. После такого сотрудничества в атаках Maze стали применяться техники, которые ранее использовались только RagnarLocker.
В конце 2020 года вышло противоречивое заявление, в котором группа Maze объявила о своем закрытии. Они сообщили, что больше не будут обновлять веб-сайт, а жертвы, которые хотят, чтобы их данные удалили, могут обратиться в «чат поддержки».
Группа утверждала, что их атаки были направлены на повышение осведомленности о кибербезопасности. В то же время распространялось и другое утверждение, что на самом деле эта группа существовала только в текстах журналистов, которые о ней писали.
Также утверждалось, что группа имеет доступ к ИТ-системам правительства штата Нью-Йорк и нескольких интернет-провайдеров, но не атакует их.
К заявлениям о прекращении деятельности группы следует относиться с осторожностью. Ранее разработчики программ-вымогателей GandCrab сообщали о завершении деятельности только для того, чтобы затем запустить REvil/Sodinokibi. Было обнаружено сходство между Maze и двумя недавно появившимися разновидностями программ-вымогателей – Egregor и Sekhmet. Это является убедительным доказательством того, что группа просто переходит к новой волне кибератак.
Наиболее известные примеры жертв программы-вымогателя Maze включают:
Одна из самых громких атак программы-вымогателя Maze была нацелена на компанию Cognizant, одного из крупнейших поставщиков ИТ-услуг в мире, входящего в список Fortune 500.
В апреле 2020 года Cognizant подвергся атаке программы-вымогателя Maze, что привело к нарушению обслуживания клиентов. В результате атаки была зашифрована и отключена часть внутренних систем, что повлекло отключение других систем.
Атака произошла в период пандемии Covid-19, когда сотрудники пытались работать удаленно. Нарушение работы компьютерных систем, поддерживающих инфраструктуру виртуальных рабочих столов, повлияло на работу сотрудников. Были удалены внутренние каталоги, в результате чего сотрудникам стало сложнее общаться друг с другом, а отделам продаж – с потенциальными и существующими клиентами. В некоторых случаях был утрачен доступ к электронной почте.
Некоторые клиенты с целью защиты от вредоносных программ заблокировали доступ Cognizant к своим сетям, в результате чего, фактически, приостановили работу по проектам. Компания Cognizant обратилась к ведущим специалистам по кибербезопасности за помощью внутренним командам по ИТ-безопасности. Правоохранительные органы также были проинформированы об атаке на компанию Cognizant, а клиентам Cognizant предоставлялись постоянные обновления.
В уведомлениях об утечке данных компания Cognizant предупреждала, что злоумышленники могли украсть конфиденциальные данные: номера социального страхования, ИНН, финансовые данные, данные водительских прав и паспортов. Компания предупредила сотрудников, имеющих корпоративные кредитные карты, о том, что во время атаки они, вероятно, были скомпрометированы. Компания Cognizant предоставила пострадавшим клиентам год бесплатного мониторинга даркнета на предмет кражи их личных данных.
По оценкам, первичные потери компании Cognizant в результате атаки программы-вымогателя Maze составили от 50 до 70 миллионов долларов. Затем компания понесла дополнительные расходы на полное восстановление компьютерных систем.
Среди клиентов компании Cognizant были финансовые компании ING и Standard Life, автомобилестроительная компания Mitsubishi Motors и компания PeopleSoft, предоставляющая услуги по подбору персонала. Компания Cognizant не раскрывает, кто из ее клиентов пострадал в результате атаки.
В августе 2020 года сообщалось, что компания Canon стала жертвой атаки программы-вымогателя Maze. Было похищено до 10 ТБ данных Canon, при этом инцидент затронул около 25 различных доменов Canon и ряд внутренних приложений, включая электронную почту и сервисы для совместной работы.
Атака программы-вымогателя Maze коснулась пользователей бесплатного хранилища объемом 10 ГБ. Компания Canon признала, что все данные и изображения, сохраненные до 16 июня 2020 года, были потеряны, но заявила, что утечки данных изображений не было. Мелкие изображения можно было просмотреть в онлайн-хранилище, но при щелчке по любому из них на сайте возникала ошибка.
В июле 2020 года группа Maze заявила, что взломала системы Xerox, и пригрозила утечкой больших объемов данных, если не получит выкуп. В качестве доказательства взлома группа разместила на своем сайте серию из 10 скриншотов. Эти скриншоты свидетельствовали о краже данных, относящихся к работе службы поддержки клиентов.
В конце 2019 года была совершена атака на информационные системы города Пенсакола во Флориде (США). Группа Maze пригрозила утечкой данных, если не будет выплачен выкуп в размере 1 миллиона долларов. По оценкам, из пораженных информационных систем города было похищено более 32 ГБ данных. Подтверждением атаки стала утечка 2 ГБ данных.
В результате атаки программы-вымогателя Maze были остановлены сервисы онлайн-платежей компании Pensacola Energy и Медико-санитарной службы города Пенсакола. К счастью для жителей, другие службы, такие как полиция и пожарные части, не пострадали.
Рекомендуется не делать этого. Чем больше людей заплатят выкуп, тем больше вероятность того, что злоумышленники предпримут аналогичные атаки в будущем.
Тем не менее, некоторым компаниям кажется, что, если они не заплатят выкуп, они не смогут нормализовать работу. На этот вопрос нет однозначного ответа, и, в конечном итоге, каждая компания принимает решение, исходя из своих обстоятельств. Каким бы ни было решение, рекомендуется привлечь к сотрудничеству правоохранительные органы для расследования, кто стоит за атаками.
Независимо от того, планирует ли компания заплатить выкуп, в первую очередь необходимо выявить проблемы безопасности, которые привели к атаке. Для предотвращения кибератак в будущем, необходимо выяснить, что пошло не так и как это исправить.
Для минимизации последствий атак вредоносных программ, аналогичных Maze, ФБР советует компаниям рассмотреть создание кэшей фиктивных данных. Такие фиктивные данные усложнят кражу действительно важных данных злоумышленниками при взломе.
Программы-вымогатели постоянно развиваются. Лучшая защита от них – это предотвращение атак, поскольку часто бывает слишком поздно восстанавливать данные после их шифрования вредоносными программами или злоумышленниками.
Рекомендации компаниям по предотвращению атак программ-вымогателей:
Постоянное обновление программного обеспечения и операционных систем поможет защититься от вредоносных программ. Рекомендуется применять патчи и обновления программ (Microsoft Office, Java, Adobe Reader, Adobe Flash) и интернет-браузеров (Internet Explorer, Chrome, Firefox, Opera и т. д.), включая плагины браузеров. При обновлении применяются последние исправления безопасности, которые затрудняют использование злоумышленниками уязвимостей в программном обеспечении.
По мере распространения киберпреступности, растет важность защиты от программ-вымогателей. Для защиты компьютеров от программ-вымогателей рекомендуется использовать комплексное решение для интернет-безопасности, например, Kaspersky Internet Security. При загрузке или потоковой передаче данных программа безопасности блокирует зараженные файлы, предотвращая заражение компьютера программами-вымогателями и сдерживая атаки киберпреступников.
Рекомендуется использовать PN для доступа к сети вместо использования протокола удаленного рабочего стола (RDP) в интернете. Kaspersky Secure Connection обеспечивает конфиденциальность при работе в сети и доступ к глобальному контенту.
Регулярно создавайте резервные копии данных в безопасном удаленном месте, чтобы восстановить данные, утраченные в результате атаки. Наиболее простой способ – настроить автоматическое резервное копирование вместо того, чтобы полагаться на пользователей. Регулярная проверка резервных копий позволит гарантировать сохранение данных.
Следует обеспечить осведомленность сотрудников о методах, используемых киберпреступниками для электронного проникновения в организации. Рекомендуется обучить сотрудников передовым методам кибербезопасности:
Независимо от того, продолжит ли группа вымогателей Maze свое существование, распадется или превратится в другую преступную группу, угроза атак программ-вымогателей останется. Чтобы успешно противостоять постоянно развивающимся киберугрозам, необходимо постоянно быть начеку.
Статьи по теме: