- Maze infectó los ordenadores de una empresa sanitaria llamada MDLab y publicó 9,5 GB de datos de la compañía: pedían un rescate de 200 bitcoins —1,6 millones de euros en el cambio de ese momento—.
Al grupo detrás de Maze también se le atribuye la filtración de datos médicos de varias organizaciones de la salud que se negaron a pagar, siendo la organización más grande los Laboratorios de Diagnóstico Médico (MD Lab) de Nueva Jersey. En esta oportunidad los operadores de Maze publicaron cerca de 9,5 GB de datos de MD Lab en un intento por forzar las negociaciones para que paguen.
FBI emitió una alerta de urgencia en diciembre de 2019 advirtiendo sobre los peligros del ransomware Maze. En el comunicado, detalla cómo los actores detrás de Maze utilizan diferentes métodos para comprometer una red, entre ellos: falsos sitios de criptomonedas y campañas de spam que suplantan la identidad de agencias gubernamentales y proveedores de seguridad.
Los cibercriminales que están detrás de Maze vienen copando desde hace semanas titulares de la prensa especializada en ciberseguridad. Lawrence Abrams, editor del portal Bleeping Computer, advierte desde principios de junio cómo Maze está cooperando con otras organizaciones de ransomware para utilizar su web como una plataforma en la que los hackers cuelgan los documentos robados de sus víctimas.
Los detalles sobre este ataque no han sido expuestos pero afirman que han robado información propiedad de la empresa para proyectos que involucran a grandes empresas de los EEUU.
No esta claro cuantos sistemas han sido encriptados, pero en el mensaje, Maze ha publicado una captura de pantalla sobre un listado de directorios de un repositorio de código de Python. Los cibercriminales han comentado que han robado sobre unos 40GB de código en Python que LG había desarrollado para grandes empresas en los EE.UU.
En una tercera captura de pantalla de los atacantes muestra un trozo de código en Python para lo que parece ser un proyecto de reenvio de correos. Este código fuente indica que el propietario es del dominio lgepartner.com, propiedad de LG Electronics.
LG no ha confirmado el ataque. Solamente ha indicado que la compañía se toma muy en serio la seguridad e investigará el incidente. Si se encuentra evidencia de un delito, LG involucrará a las autoridades locales.
Ransomware as a Service (RaaS) - Maze
Las primeras muestras de Maze datan de principios de mayo de 2019, aunque en aquel momento se identificaba la familia de ransomware bajo el nombre ChaCha, en alusión al algoritmo que emplea para cifrar los ficheros de los sistemas infectados. En los últimos meses, Maze se ha perfilado como una de las principales amenazas a las que se enfrentan las empresas, en lo que respecta a infecciones por malware y su impacto en la continuidad de negocio, filtrado de información sensible y daño a la imagen corporativa.
Maze se ha posicionado como uno de los grupos precursores de la extorsión en público, amenazando a las empresas afectadas con filtrar su información confidencial en caso de negarse a colaborar, es decir, proceder con el pago del rescate. A lo largo del informe se detalla este modelo de extorsión, así como se ofrecen los detalles técnicos sobre la muestra analizada. Finalmente, se proporciona una regla YARA con la que identificar muestras similares de la familia de ransomware objeto de análisis.
Fuentes:
https://www.businessinsider.es/cibercriminales-anuncian-lg-ha-perdido-codigo-productos-664515
https://blog.segu-info.com.ar/2020/06/lg-afectada-por-un-ataque-del.html
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ransomware-maze/
No hay comentarios:
Publicar un comentario