Одна из самых активных и печально известных групп программ-вымогателей, занимающихся кражей данных, Maze, заявляет, что она «официально закрыта».
Объявление стало пустым заявлением, пронизанным орфографическими ошибками, и опубликовано на его веб-сайте в даркнете, который за последний год опубликовал огромное количество украденных внутренних документов и файлов от компаний, на которые оно было направлено, включая Cognizant, страховую компанию по страхованию кибербезопасности. Чабб, фармацевтический гигант ExecuPharm, Tesla а также SpaceX поставщик запчастей Visser и оборонный подрядчик Кимчук.
Там, где типичные группы программ-вымогателей заражали жертву вредоносным ПО для шифрования файлов и сохраняли файлы с целью выкупа, Maze получил известность тем, что первым вывел данные жертвы и угрожал опубликовать украденные файлы, если выкуп не будет выплачен.
Это быстро стало предпочтительной тактикой групп программ-вымогателей, которые создают веб-сайты – часто в темной сети – для утечки украденных файлов, если жертва отказывается платить.
Изначально Maze использовал комплекты эксплойтов и спам-кампании для заражения своих жертв, но позже начал использовать известные уязвимости в системе безопасности для целенаправленного нацеливания на крупные компании. Известно, что Maze использовал уязвимые виртуальные частные сети (VPN) и серверы удаленного рабочего стола (RDP) для запуска целевых атак на сеть своей жертвы.
Некоторые из требуемых выкупов достигли миллионов $. Сообщается, что Maze потребовал 6 миллионов $ от производителя проводов и кабелей из Джорджии и 15 миллионов $ от одной неназванной организации после того, как группа зашифровала свою сеть. Но после того, как в марте COVID-19 был объявлен эпидемией, Maze, как и другие группы программ-вымогателей, пообещали не атаковать больницы и медицинские учреждения.
Но эксперты по безопасности пока не празднуют. В конце концов, банды вымогателей по-прежнему являются преступными организациями, многие из которых движимы прибылями.
Заявление группы вымогателей Maze о том, что она закрылась. Снимок экрана: TechCrunch
«Очевидно, что к заявлениям Maze следует отнестись с очень небольшой долей скепсиса, – сказал Бретт Кэллоу, эксперт по программам-вымогателям и аналитик по угрозам из компании Emsisoft, занимающейся безопасностью. «Конечно, возможно, что группа чувствует, что заработала достаточно денег, чтобы закрыть магазин и отправиться в закат. Однако также возможно – и, вероятно, более вероятно, что они решили провести ребрендинг ».
Кэллоу сказал, что очевидное расформирование группы оставляет открытые вопросы о связях и участии группы Maze с другими группами. «Поскольку Maze был дочерней организацией, их соучастники в преступлении вряд ли выйдут на пенсию и вместо этого просто присоединятся к другой группе», – сказал он.
Maze в своем заявлении отрицает, что это был «картель» групп вымогателей, но эксперты не согласны. Стив Раган, исследователь безопасности в Akamai, сказал, что Maze, как известно, размещал на своем веб-сайте данные от других программ-вымогателей, таких как Ragnar Locker и наемное вымогательское ПО LockBit.
«Для них притвориться сейчас, что не было никакой команды или картеля, – это просто обратное. Ясно, что эти группы работали вместе на многих уровнях », – сказал Рэган.
«Обратной стороной этого и другим важным элементом является то, что ничего не изменится, программы-вымогатели по-прежнему будут доступны», – сказал Рэган. «Преступники по-прежнему нацелены на открытый доступ, раскрытый RDP [remote desktop protocol] и порталы VPN, и по-прежнему рассылает вредоносные электронные письма с вредоносными вложениями в надежде заразить ничего не подозревающих жертв в Интернете », – сказал он.
Джереми Кеннелли из подразделения FireEye по анализу угроз Mandiant сказал, что, хотя бренд Maze может быть мертв, его операторы, скорее всего, не ушли навсегда.
«Мы с высокой степенью уверенности оцениваем, что многие люди и группы, которые сотрудничали, чтобы включить службу вымогателей Maze, вероятно, продолжат заниматься аналогичными операциями – либо работая для поддержки существующих служб вымогателей, либо поддерживая новые операции в будущем», – сказал Кеннелли.