Η συμμορία του Maze τερματίζει τις δραστηριότητες της αφού κατάφερε να γίνει ένας από τους σημαντικότερους παίκτες της αγοράς που εκτελούν επιθέσεις ransomware. Το ransomware Maze άρχισε να λειτουργεί τον Μάιο του 2019, αλλά έγινε πιο ενεργό το Νοέμβριο του ίδιου έτους.
Η επιχείρηση έφερε την επανάσταση στις επιθέσεις ransomware εισάγοντας μια τακτική διπλού εκβιασμού.
Πρώτα, κλέβουν τα αρχεία σας και μετά τα κρυπτογραφούν
Ενώ οι επιχειρήσεις ransomware, ως επί το πλείστον, τείνουν να αγνοούν τα email των δημοσιογράφων. Αυτό άλλαξε τον Νοέμβριο του 2019, όταν η ομάδα του Maze ήρθε σε επαφή με το BleepingComputer για να τους ενημερώσει ότι έκλεψαν τα δεδομένα της Allied Universal.
Η ομάδα του Maze δήλωσε ότι εάν η Allied δεν πλήρωνε τα λύτρα, τα δεδομένα τους θα κυκλοφορούσαν δημόσια. Τελικά, τα λύτρα δεν πληρώθηκαν και η Maze δημοσιοποίησε τα κλεμμένα δεδομένα.
Λίγο αργότερα, η Maze λάνσαρε έναν ιστότοπο που ονομάζεται «Maze News» τον οποίο χρησιμοποιούν για τη δημοσίευση δεδομένων των θυμάτων που δεν πληρώνουν και εκδίδουν «δελτία τύπου» για δημοσιογράφους που παρακολουθούν τις δραστηριότητες τους.
Αυτή η τεχνική διπλού εκβιασμού υιοθετήθηκε γρήγορα από άλλες μεγάλες λειτουργίες ransomware, συμπεριλαμβανομένων των REvil, Clop, DoppelPaymer, οι οποίοι κυκλοφόρησαν τα δικά τους website διαρροής δεδομένων. Αυτή η τεχνική διπλού εκβιασμού έχει πλέον γίνει μια τυπική τακτική που χρησιμοποιείται από όλες σχεδόν τις ομάδες ransomware.
Η ομάδα του Maze συνέχισε να εξελίσσει τις λειτουργίες του ransomware σχηματίζοντας ένα καρτέλ με τις ομάδες των Ragnar Locker και LockBit, για να μοιραστούν πληροφορίες και τακτικές.
Κατά τη διάρκεια του ενάμιση έτους που λειτουργούσε, η Maze ήταν υπεύθυνη για επιθέσεις σε πολύ συμαντικές επιχειρήσεις, συμπεριλαμβανομένων των Southwire, City of Pensacola, Canon, LG Electronics, Xerox και πολλές άλλες.
Το Maze σταμάτησε πριν από περίπου έξι εβδομάδες
Στις αρχές του περασμένου μήνα, το BleepingComputer άρχισε να μαθαίνει φήμες ότι η ομάδα του Maze ετοιμάζεται να κλείσει τη λειτουργία του ransomware με παρόμοιο τρόπο όπως έκανε η ομάδα του GandCrab το 2019.
Το κλείσιμο επιβεβαιώθηκε αργότερα μετά από επικοινωνία του BleepingComputer με έναν επιτιθέμενο που συμμετείχε στην επίθεση που πραγματοποιήθηκε στην “Barnes and Noble“.
Η ομάδα του Maze βρίσκεται σε μια διαδικασία τερματισμού της λειτουργίας της, έχει σταματήσει να κρυπτογραφεί νέα θύματα από τον Σεπτέμβριο του 2020 και προσπαθεί να πιέσει τα τελευταία θύματα της να πληρώσουν τα λύτρα.
Αυτή την εβδομάδα, η ομάδα του Μaze άρχισε να αφαιρεί τα θύματα που είχε καταγράψει στον ιστότοπο διαρροής δεδομένων. Η εκκαθάριση του ιστότοπου διαρροής δεδομένων υποδεικνύει ότι θα τερματιστεί η λειτουργία του ransomware.
Οι συνεργάτες μετακινούνται στο ransomware Egregor
Το BleepingComputer έμαθε ότι πολλοί συνεργάτες του Maze έχουν μεταβεί σε μια νέα ομάδα ransomware που ονομάζεται Egregor.
Η ομάδα Egregor άρχισε να λειτουργεί στα μέσα Σεπτεμβρίου και γρήγορα έγινε αρκετά γνωστή.
Το ransomware Egregor πιστεύεται ότι είναι παρόμοιο με το Μaze και το Sekhmet, καθώς χρησιμοποιούν τα ίδια «ransom notes», παρόμοια ονομασία ιστότοπου πληρωμής και μοιράζονται μεγάλο μέρος του ίδιου κώδικα.
Αυτό επιβεβαιώθηκε επίσης από έναν χάκερ που δήλωσε ότι τα Maze, Sekhmet και Egregor ήταν το ίδιο λογισμικό.
Δυστυχώς, αυτό δείχνει ότι ακόμη και όταν τερματιστεί μια επιχείρηση ransomware, αυτό δεν σημαίνει ότι οι εμπλεκόμενοι απειλητικοί παράγοντες αποσύρονται. Απλώς μετακινούνται σε μια άλλη ομάδα/επιχείρηση.
