Программа-вымогатель Maze. Определение и описание
Программа-вымогатель Maze – это разновидность программ-вымогателей для Windows, нацеленная на компании, работающие во многих отраслях по всему миру. Как и другие виды программ-вымогателей, Maze требует выкуп за безопасное восстановление зашифрованных данных в криптовалюте.
Если жертвы отказываются платить, программа-вымогатель Maze угрожает утечкой конфиденциальных данных. Такое поведение характерно для новых видов программ-вымогателей, включая REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop и другие.
Что такое программа-вымогатель Maze?
Программа-вымогатель Maze была впервые обнаружена в мае 2019 года. Она была разработана как вариант вируса ChaCha. С декабря 2019 года во многих отраслях наблюдалась высокая частота атак Maze.
Как работает программа-вымогатель Maze?
Типичные пути распространения программы-вымогатель Maze:
- Спам-сообщения, содержащие вредоносные ссылки или вложения (в основном файлы Word или Excel).
- Атаки методом перебора по RDP.
- Использование набора эксплойтов.
В некоторых случаях атака может исходить от клиента или партнера компании, который уже стал жертвой злоумышленников. Как только Maze получает доступ к сети, злоумышленники пытаются получить повышенные привилегии, чтобы развернуть шифрование файлов на всех дисках. Maze особенно опасен, поскольку пересылает обнаруженные данные на серверы, контролируемые злоумышленниками, а те, в свою очередь, угрожают опубликовать данные, если не будет уплачен выкуп.
Компании могут восстановить данные из защищенной резервной копии, чтобы возобновить работу (если сама резервная копия не была взломана), но это не отменяет факта, что у преступников теперь есть копия данных компании. По сути, действия Maze представляют собой комбинацию атаки программы-вымогателя и утечки данных.
Веб-сайт программы-вымогателя Maze
У создателей Maze есть собственный веб-сайт, где они перечисляют своих жертв (которых они называют «клиентами»). На этом веб-сайте они часто публикуют образцы украденных данных в качестве наказания. Веб-сайт содержит подробную информацию о том, когда была совершена атака программы-вымогателя Maze, а также ссылки на загрузку «доказательств» – украденных данных и документов. Как ни странно, на сайте есть ироничный слоган «Сохраняем мир в безопасности» и даже есть кнопки «Поделиться» для публикации подробностей об утечках данных в социальных сетях.
На веб-сайте Maze злоумышленники предупреждает своих жертв, что, если они не выплатят выкуп:
- Подробности об атаке и нарушении их системы безопасности будут опубликованы и переданы в СМИ.
- Украденная информация, имеющая коммерческую ценность, будет продана в даркнете.
- Фондовые биржи будут проинформированы о взломе и утечке конфиденциальной информации компании, что снизить стоимость ее акций.
- Украденная информация будет использована для атак на клиентов и партнеров, кроме того, они будут проинформированы о взломе компании.
Считается, что Maze работает через аффилированную сеть, в которой разработчики делятся своими доходами с различными группами, использующими Maze для атак на сети компаний.
В 2020 году злоумышленники, стоящие за Maze, объединились с двумя другими киберпреступными группировками, LockBit и RagnarLocker, образовав, по сути, картель вымогателей. Они объединили усилия, и украденные этими группами данные были опубликованы на сайте Maze. После такого сотрудничества в атаках Maze стали применяться техники, которые ранее использовались только RagnarLocker.
Правда ли, что группа Maze прекращает деятельность?
В конце 2020 года вышло противоречивое заявление, в котором группа Maze объявила о своем закрытии. Они сообщили, что больше не будут обновлять веб-сайт, а жертвы, которые хотят, чтобы их данные удалили, могут обратиться в «чат поддержки».
Группа утверждала, что их атаки были направлены на повышение осведомленности о кибербезопасности. В то же время распространялось и другое утверждение, что на самом деле эта группа существовала только в текстах журналистов, которые о ней писали.
Также утверждалось, что группа имеет доступ к ИТ-системам правительства штата Нью-Йорк и нескольких интернет-провайдеров, но не атакует их.
К заявлениям о прекращении деятельности группы следует относиться с осторожностью. Ранее разработчики программ-вымогателей GandCrab сообщали о завершении деятельности только для того, чтобы затем запустить REvil/Sodinokibi. Было обнаружено сходство между Maze и двумя недавно появившимися разновидностями программ-вымогателей – Egregor и Sekhmet. Это является убедительным доказательством того, что группа просто переходит к новой волне кибератак.
Примеры атак программы-вымогателя Maze
Наиболее известные примеры жертв программы-вымогателя Maze включают:
Атака на компанию Cognizant
Одна из самых громких атак программы-вымогателя Maze была нацелена на компанию Cognizant, одного из крупнейших поставщиков ИТ-услуг в мире, входящего в список Fortune 500.
В апреле 2020 года Cognizant подвергся атаке программы-вымогателя Maze, что привело к нарушению обслуживания клиентов. В результате атаки была зашифрована и отключена часть внутренних систем, что повлекло отключение других систем.
Атака произошла в период пандемии Covid-19, когда сотрудники пытались работать удаленно. Нарушение работы компьютерных систем, поддерживающих инфраструктуру виртуальных рабочих столов, повлияло на работу сотрудников. Были удалены внутренние каталоги, в результате чего сотрудникам стало сложнее общаться друг с другом, а отделам продаж – с потенциальными и существующими клиентами. В некоторых случаях был утрачен доступ к электронной почте.
Некоторые клиенты с целью защиты от вредоносных программ заблокировали доступ Cognizant к своим сетям, в результате чего, фактически, приостановили работу по проектам. Компания Cognizant обратилась к ведущим специалистам по кибербезопасности за помощью внутренним командам по ИТ-безопасности. Правоохранительные органы также были проинформированы об атаке на компанию Cognizant, а клиентам Cognizant предоставлялись постоянные обновления.
В уведомлениях об утечке данных компания Cognizant предупреждала, что злоумышленники могли украсть конфиденциальные данные: номера социального страхования, ИНН, финансовые данные, данные водительских прав и паспортов. Компания предупредила сотрудников, имеющих корпоративные кредитные карты, о том, что во время атаки они, вероятно, были скомпрометированы. Компания Cognizant предоставила пострадавшим клиентам год бесплатного мониторинга даркнета на предмет кражи их личных данных.
По оценкам, первичные потери компании Cognizant в результате атаки программы-вымогателя Maze составили от 50 до 70 миллионов долларов. Затем компания понесла дополнительные расходы на полное восстановление компьютерных систем.
Среди клиентов компании Cognizant были финансовые компании ING и Standard Life, автомобилестроительная компания Mitsubishi Motors и компания PeopleSoft, предоставляющая услуги по подбору персонала. Компания Cognizant не раскрывает, кто из ее клиентов пострадал в результате атаки.
Атака на компанию Canon
В августе 2020 года сообщалось, что компания Canon стала жертвой атаки программы-вымогателя Maze. Было похищено до 10 ТБ данных Canon, при этом инцидент затронул около 25 различных доменов Canon и ряд внутренних приложений, включая электронную почту и сервисы для совместной работы.
Атака программы-вымогателя Maze коснулась пользователей бесплатного хранилища объемом 10 ГБ. Компания Canon признала, что все данные и изображения, сохраненные до 16 июня 2020 года, были потеряны, но заявила, что утечки данных изображений не было. Мелкие изображения можно было просмотреть в онлайн-хранилище, но при щелчке по любому из них на сайте возникала ошибка.
Атака на компанию Xerox
В июле 2020 года группа Maze заявила, что взломала системы Xerox, и пригрозила утечкой больших объемов данных, если не получит выкуп. В качестве доказательства взлома группа разместила на своем сайте серию из 10 скриншотов. Эти скриншоты свидетельствовали о краже данных, относящихся к работе службы поддержки клиентов.
Атака на информационные системы города Пенсакола
В конце 2019 года была совершена атака на информационные системы города Пенсакола во Флориде (США). Группа Maze пригрозила утечкой данных, если не будет выплачен выкуп в размере 1 миллиона долларов. По оценкам, из пораженных информационных систем города было похищено более 32 ГБ данных. Подтверждением атаки стала утечка 2 ГБ данных.
В результате атаки программы-вымогателя Maze были остановлены сервисы онлайн-платежей компании Pensacola Energy и Медико-санитарной службы города Пенсакола. К счастью для жителей, другие службы, такие как полиция и пожарные части, не пострадали.
Стоит ли платить выкуп, требуемый программой-вымогателем Maze?
Рекомендуется не делать этого. Чем больше людей заплатят выкуп, тем больше вероятность того, что злоумышленники предпримут аналогичные атаки в будущем.
Тем не менее, некоторым компаниям кажется, что, если они не заплатят выкуп, они не смогут нормализовать работу. На этот вопрос нет однозначного ответа, и, в конечном итоге, каждая компания принимает решение, исходя из своих обстоятельств. Каким бы ни было решение, рекомендуется привлечь к сотрудничеству правоохранительные органы для расследования, кто стоит за атаками.
Независимо от того, планирует ли компания заплатить выкуп, в первую очередь необходимо выявить проблемы безопасности, которые привели к атаке. Для предотвращения кибератак в будущем, необходимо выяснить, что пошло не так и как это исправить.
Для минимизации последствий атак вредоносных программ, аналогичных Maze, ФБР советует компаниям рассмотреть создание кэшей фиктивных данных. Такие фиктивные данные усложнят кражу действительно важных данных злоумышленниками при взломе.
Как защититься от программы-вымогателя Maze
Программы-вымогатели постоянно развиваются. Лучшая защита от них – это предотвращение атак, поскольку часто бывает слишком поздно восстанавливать данные после их шифрования вредоносными программами или злоумышленниками.
Рекомендации компаниям по предотвращению атак программ-вымогателей:
1. Обновляйте программное обеспечение и операционные системы
Постоянное обновление программного обеспечения и операционных систем поможет защититься от вредоносных программ. Рекомендуется применять патчи и обновления программ (Microsoft Office, Java, Adobe Reader, Adobe Flash) и интернет-браузеров (Internet Explorer, Chrome, Firefox, Opera и т. д.), включая плагины браузеров. При обновлении применяются последние исправления безопасности, которые затрудняют использование злоумышленниками уязвимостей в программном обеспечении.
2. Используйте программы безопасности
По мере распространения киберпреступности, растет важность защиты от программ-вымогателей. Для защиты компьютеров от программ-вымогателей рекомендуется использовать комплексное решение для интернет-безопасности, например, Kaspersky Internet Security. При загрузке или потоковой передаче данных программа безопасности блокирует зараженные файлы, предотвращая заражение компьютера программами-вымогателями и сдерживая атаки киберпреступников.
3. Используйте VPN для доступа к сети
Рекомендуется использовать PN для доступа к сети вместо использования протокола удаленного рабочего стола (RDP) в интернете. Kaspersky Secure Connection обеспечивает конфиденциальность при работе в сети и доступ к глобальному контенту.
4. Выполняйте резервное копирование данных
Регулярно создавайте резервные копии данных в безопасном удаленном месте, чтобы восстановить данные, утраченные в результате атаки. Наиболее простой способ – настроить автоматическое резервное копирование вместо того, чтобы полагаться на пользователей. Регулярная проверка резервных копий позволит гарантировать сохранение данных.
5. Обучайте и информируйте персонал о кибербезопасности
Следует обеспечить осведомленность сотрудников о методах, используемых киберпреступниками для электронного проникновения в организации. Рекомендуется обучить сотрудников передовым методам кибербезопасности:
- Не переходить по ссылкам в спам-письмах или на незнакомых веб-сайтах. Загрузки, запускаемые при переходе по вредоносным ссылкам, являются одним из способов заражения компьютеров.
- Не загружать программы и мультимедиа-файлы с неизвестных веб-сайтов.
- Не открывать вложения в сообщения электронной почты от недоверенных отправителей. Следует обратить внимание, от кого пришло электронное письмо, и убедиться, что адрес электронной почты указан правильно. Перед открытием следует убедиться в подлинности вложения. Если есть сомнения, рекомендуется связаться с предполагаемым отправителем письма и перепроверить.
- При получении звонка, текстового сообщения или электронного письма из недоверенного источника с просьбой предоставить личную информацию, не следует сообщать ее.
- Для удаленного подключения в локальной сети компании рекомендуется использовать только безопасные технологии.
- Рекомендуется использовать защиту конечных точек с функциями анализа поведения и автоматического отката файлов, например Kaspersky Endpoint Security для бизнеса.
- Для защиты конфиденциальных данных и учетных записей, а также для многофакторной аутентификации рекомендуется использовать стойкие ко взлому уникальные пароли.
- По возможности рекомендуется шифровать конфиденциальные данные.
Независимо от того, продолжит ли группа вымогателей Maze свое существование, распадется или превратится в другую преступную группу, угроза атак программ-вымогателей останется. Чтобы успешно противостоять постоянно развивающимся киберугрозам, необходимо постоянно быть начеку.
Статьи по теме: