venerdì 30 ottobre 2020

Una buona notizia: il ransomware Maze cessa le operazioni

I ransomware sono più numerosi e sempre più complessi, nel funzionamento dell'attacco e nella gestione dell'estorsione ma, ogni tanto, ci sono anche buone notizie e quella di oggi è davvero una Buona Notizia: il temibile ransomware Maze, capofila delle nuove tecniche di estorsione a doppio riscatto (uno per la chiave di decriptazione e uno per non vedere pubblicati online i dati rubati) sta sospendendo le operazioni di attacco. 

Maze ha rivoluzionato il mondo dei ransomware
E' significativo che Maze stia sospendendo le operazioni non solo per il livello raggiunto (in termini di importanza delle vittime e di ammontare dei riscatti), ma anche perchè Maze ha apportato modifiche così sostanziali alla metodologia di attacco ransomware da averla, nei fatti rivoluzionata. Ad esempio, prima del debutto di Maze sulla scena del cybercrime  nessun gruppo di cybercriminali aveva mai concesso interviste e risposto alle domande poste dai ricercatori di sicurezza e dei giornalisti: tutto è cambiato nel Novembre 2019, quando i gestori di Maze hanno deciso di contattare le redazioni di una serie di riviste online specializzate in cybersecurity, BleepingComputer su tutte, per diffondere la notizia che, per la prima volta, il loro attacco alla Allied Universal non aveva solo comportato la criptazione dei dati, ma anche il loro furto. Per la prima volta cioè, un gruppo di attaccanti ha spiegato alla stampa il proprio attacco, mettendone anche a conoscenza il mondo. In quel caso, da Maze spiegavano che la scelta di contattare le redazioni e informare dell'attacco dipendeva dalla volontà di aumentare la pressione estorsiva contro un'azienda che si stava rifiutando di partecipare alle trattative e pagare il riscatto.

Poco dopo viene pubblicato il sito "Maze news", un sito di leak usato dal gruppo per rendere pubblici, a piccole dosi, i file rubati dalle vittime che si rifiutano di pagare. Ogni leak è addirittura accompagnato da brevi "comunicati stampa" per permettere ai giornalisti di rimanere informati sulle loro attività. 

Questa tecnica di doppia estorsione è divenuta poco dopo molto diffusa, adottata da praticamente tutte le principali famiglie ransomware attualmente attive, tra i quali REvil, DoppelPaymer, Ryuk ecc... Un fioccare di siti di leak che ha reso definitivamente standard questa metodologia estorsiva. 

Non finisce qui: la rivoluzione di Maze è passata anche da forme di collaborazione con altri gruppi ransomware. Contrariamente a quanto sempre successo in precedenza, ovvero una forma di totale concorrenza e competizione tra diversi gruppi di cyber attaccanti, Maze ha ritenuto più utile darsi una forma di cooperazione con altri attaccanti, mettendo a disposizione il proprio sito di leak, al tempo il più conosciuto e sviluppato. E' così che Maze è stato l'artefice del primo Cartello dei Ransomware della storia: ne abbiamo parlato qui

Una conta lunghissima di vittime
Complessivamente Maze ha avuto vita breve, ma molto intensa. Durante il suo anno e mezzo di attività Maze ha colpito e ricattato vittime del peso di Canon, Xerox, LG Eletronics ma anche enti pubblici, come la Città di Pensacola e molte molte altre...

L'inizio della fine
Lo scorso mese sono cominciati i primi rumors rispetto ad una possibile interruzione delle operazioni di Maze in una maniera molto simile alla sospensione di quelle di un altro celeberrimo ransomware, GandCrab, messo in pensione dai suoi gestori nel 2019. La sospensione delle operazioni è stata poi confermata a Lawrence Abrams di BleepingComputer in occasione dell'attacco ransomware a Barnes e Noble. Gli attaccanti hanno fatto sapere di aver preso parte all'attacco ransomware compromettendo la rete aziendale e rubando le credenziali dei Windows domain. Hanno quindi passato l'accesso alla rete ai propri affiliati per la distribuzione del ransomware, in virtù di un accordo che prevedeva l'equa distribuzione del riscatto tra affiliati, sviluppatori del ransomware e attaccanti specializzati nell'irruzione nelle reti aziendali. E' nel corso di questa conversazione che gli attaccanti hanno fatto sapere che Maze sta sospendendo le operazioni, avendo già interrotto ogni attacco a partire dal Settembre 2020: nelle prossime settimane gli attaccanti si concentreranno solo a spremere il più possibile le vittime già attaccate e che ancora non hanno ceduto all'estorsione. 

Fonte: bleepingcomputer.com

Poco dopo la redazione di BleepingComputer ha chiesto conferma agli attori di Maze della sospensione delle operazioni: "dovreste aspettare il comunicato stampa" hanno risposto. 

Ad ora gli unici cambiamenti visibili, oltre all'effettivo stop degli attacchi, si riscontrano nella lista delle vittime presenti sul sito di leak Maze News: tutte le vittime precedenti sono state rimosse dagli elenchi e ne restano soltanto due, oltre a quelle che hanno visto già pubblicati i propri dati in precedenza. Questo è un segno chiaro e inequivocabile dell'imminente sospensione delle operazioni. La speranza adesso è che, come già accaduto in passato, gli attaccanti rendano pubblica la master key, garantendo a tutte le vittime il recupero dei propri file senza alcun riscatto. 

La cattiva notizia nella buona notizia
C'è una cattiva notizia anche entro questa buona notizia: gli affiliati di Maze, tutt'altro che intenzionati a rimanere a mani vuote, si stanno spostando verso l'affiliazione ad nuovo ransomware, chiamato Egregor. 

Egregor ha iniziato le proprie operazioni proprio a metà Settembre, con uno straordinario tempismo rispetto alla sospensione degli attacchi da parte del gruppo Maze. Il pensiero diffuso tra i ricercatori di sicurezza è che Egregor sia lo stesso software alla base di Maze e Sekhmet, poichè sono usate le stesse note di riscatto, siti di pagamento simili e c'è la condivisione di parte dello stesso codice. Che Maze, Sekhmet ed Egregors siano lo stesso software era comunque già stato confermato in precedenza da altri cybercriminali. L'esperto di ransomware Michael Gillespie ha anche fatto una scoperta che mette chiaramente in relazione questi malware: le vittime di Egregor che pagano il riscatto, ricevono un decryptor che si chiama "Sekhmet Decryptor". 

Insomma la sospensione delle operazioni di Maze è una buona notizia, ma non indica affatto il ritiro dalla scena ransomware del gruppo che lo ha sviluppato: piuttosto il gruppo sta semplicemente muovendo verso una nuova operazione ransomware. 

Nessun commento:

Posta un commento