Ransomware Maze: "casos de éxito" en LG, Xerox y Canon

 Los operadores del ransomware Maze han publicado decenas de GB de datos internos de las redes de gigantes empresariales empresariales LG y Xerox luego de dos intentos fallidos de extorsión. Los delincuente filtraron 50,2 GB que afirman haber robado de la red interna de LG y 25,8 GB de datos de Xerox.

Ambas filtraciones de hoy se han provocado desde finales de junio cuando los operadores del ransomware Maze crearon entradas para cada una de las dos compañías en su "portal de filtraciones".

El grupo Maze es conocido principalmente por su cadena homónima de ransomware y generalmente opera violando redes corporativas, robando archivos confidenciales primero, cifrando datos en segundo lugar y exigiendo un rescate para descifrar los archivos.

Si una víctima se niega a pagar la tarifa para descifrar sus archivos y decide restaurar a partir de copias de seguridad, la pandilla Maze crea una entrada en un "sitio web de fugas" y amenaza con publicar los datos confidenciales de la víctima en un segundo intento de extorsión y rescate.

Luego, a la víctima se le dan algunas semanas para reflexionar sobre su decisión, y si las víctimas no ceden durante este segundo intento de extorsión, la pandilla Maze publica archivos en su portal.

LG y Xerox

LG y Xerox están en esta última etapa, después de aparentemente negarse a cumplir con las demandas de la pandilla Maze. ZDNet ha estado rastreando ambos incidentes desde que se anunciaron inicialmente en el sitio web de Maze a fines de junio.

Basado en capturas de pantalla compartidas por la pandilla Maze el mes pasado y en muestras de archivos descargados y revisados ​​por ZDNet, los datos parecen contener el código fuente del firmware de fuente cerrada de varios productos LG, como teléfonos y computadoras portátiles.

Las cosas son mucho más confusas cuando se trata de Xerox. No está claro qué sistemas internos cifró la pandilla Maze, o si los archivos fueron robados y rescatados sin cifrado, similar al incidente de LG.

Basado en una revisión superficial de los datos filtrados en línea, parece que Maze ha robado datos relacionados con las operaciones de soporte al cliente.

Canon

La multinacional Canon también habría sido víctima de un ataque de ransomware lanzado por el grupo Maze contra sus servicios de correo electrónico y almacenamiento y su sitio web de EE.UU. el pasado 30 de julio. Maze había amenazado con filtrar las fotos y los datos si no se paga un rescate con criptomonedas.

El sitio "image.canon" estuvo fuera de línea durante seis días durante los cuales mostró actualizaciones. Volvió a estar en servicio el 4 de agosto. Canon publicó una declaración ese día sobre el ataque diciendo que no se habían filtrado datos de imágenes ni miniaturas de las fotos almacenadas en el servicio en la nube.

Sin embargo, BleepingComputer confirmó la gravedad del ataque el 5 de agosto y dijo que la pandilla de ransomware afirmó que había logrado robar casi 10 TB de fotos, archivos y otros datos. La publicación informó una notificación enviada por el departamento de IT de Canon a través de su red de toda la empresa que confirmó que "problemas generalizados del sistema" afectaron a múltiples aplicaciones.

Brett Callow, analista de amenazas en el laboratorio de malware Emsisoft, confirmó que la conocida pandilla de ransomware Maze estaba detrás de los ataques contra la multinacional japonesa. Callow agrega que el ransomware solía afectar principalmente a las empresas más pequeñas, pero las empresas más grandes ahora son víctimas con una frecuencia cada vez mayor.

Los expertos de Emsisoft creen que la posibilidad de que los datos sean robados en un ataque de ransomware en particular ahora es mayor que uno de cada diez, citando un estudio reciente publicado por el laboratorio de malware.

Accesos vía Citrix

En una entrevista con la compañía de inteligencia de amenazas Bad Packets en junio, Troy Mursch, cofundador de la compañía, le dijo a ZDNet que ambas compañías tenían servidores Citrix ADC que en un momento u otro quedaron sin parches y vulnerables en línea, según los escaneos de Internet de su compañía. Los servidores eran vulnerables a la vulnerabilidad CVE-2019-19781, que Mursch describió como "el vector de compromiso favorito de Maze". Probablemente esta vulnerabilidad sea la misma que se aprovecho en el caso de Telecom Argentina.

Irónicamente, el mismo día en que la banda Maze filtró los archivos de LG en su portal de filtraciones, la firma de inteligencia de amenazas Shadow Intelligence le dijo a ZDNet en un correo electrónico que otro hacker estaba vendiendo el acceso al centro de investigación y desarrollo (I + D) de LG America en un foro de hacking. El precio inicial fue de entre U$S 10.000 y U$S 13.000, según algunas capturas de pantalla.

El investigador de seguridad Vitali Kremez ha publicado una regla de Yara que puede usarse para detectar la DLL de Maze Ransomware.

Fuente: SeguInfo

Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos

Imagen
4.5 / 5 ( 6 votos ) El mapa de riesgos, el mapa de calor y la matriz de riesgos son herramientas útiles en Risk Management. Si bien, en ocasiones los profesionales en Risk Management confunden estos conceptos y lo tratan como si fueran una única herramienta. En este artículo vamos a aclarar las principales diferencias y similitudes entre mapa de calor y matriz de riesgos, así como con mapa de riesgos. ¿Qué son los mapas de riesgos? Un mapa de riesgos es una tabla de 2×2, normalmente una tabla cruzada, que se organiza en columnas. En la primera se colocan los posibles eventos que pueden aportar incertidumbre al objetivo de la empresa u organización. Y, en las siguientes columnas, se colocarán las probabilidades, consecuencias o variables que puedan explicar dichos eventos. Por lo tanto, esta tabla viene a considerarse un mapa de riesgos.
Leer más