Administrateur Réseau

Qu’est-ce que Maze Ransomware et comment s’en protéger ?

Qu



Rançongiciel labyrinthe est apparu pour la première fois en mai 2019. Maze est le nom du groupe de hackers qui l'a créé, mais le système Maze n'est pas lancé par eux. Au lieu de cela, le groupe Maze prête le logiciel à d’autres groupes de hackers qui ont des cibles en tête. L’attaquant et le fournisseur du ransomware partagent ensuite les bénéfices tirés de la rançon

Le système Maze n’est pas diffusé dans les listes de diffusion. Il est utilisé dans le cadre de une campagne ciblée cela inclut le doxing, qui est le profilage d’individus. La quantité de recherche nécessaire à chaque attaque est coûteuse et prend du temps. Cet effort est payant car le ransomware Maze peut traverser les réseaux. Il est principalement utilisé pour accéder aux services cloud, puis accéder au réseau de chacun des clients de ce service.



Contenu [ cacher ]

Comment le ransomware Maze accède-t-il à un réseau ?

Les pirates utilisant Maze nécessitent un compte utilisateur valide, et donc la première phase d'une attaque Maze est hameçonnage . Dans cette technique, les pirates recherchent des personnes travaillant dans une organisation, puis ouvrent une conversation basée sur un intérêt qu'ils ont découvert que cette personne poursuit.



La marque initiale pourrait être un employé de bas niveau. Dans ce cas, le pirate informatique a la responsabilité d'expliquer qui est en charge de ce service et éventuellement qui travaille dans le service informatique. Le groupe de hackers finit par créer un réseau organigramme grâce à ces contacts sociaux et détermine qui a accès privilégié au système. Cette personne devient alors la cible principale. Ce sont les comptes au niveau du système que veulent les pirates.

Tandis que certains membres de l'équipe de hackers tentent de tromper les employés, d'autres essaieront des méthodes traditionnelles d'accès au système avec des mots de passe fréquemment utilisés, des mots de passe par défaut du fabricant ou un pirate de mot de passe pour accéder aux points d'accès clés au réseau. Le groupe tentera également d'obtenir un cheval de Troie d'accès à distance sur un appareil avec un virus infecté .docx fichier en pièce jointe à un e-mail. D'une manière ou d'une autre, le groupe peut acquérir un compte utilisateur.

Comment Maze infecte-t-il un système ?

Une fois que Maze est sur un appareil, il entrera une phase de recherche , à l'aide d'outils de détection du système bien connus, tels que smbtools.exe, Adfind, BloodHound, PingCastle, ainsi que de la surveillance du système Découverte outils. Il recherchera les vulnérabilités du réseau. Le virus recherchera l'accès ouvert aux PME, les paramètres de configuration des périphériques réseau et la possibilité d'accéder à Active Directory instances.

Les outils du système d'exploitation déployés par le ransomware Maze incluent Résolution de nom de multidiffusion lien-local (LLMNR) les émissions et les Service de noms NetBIOS (NBT-NS) pour essayer d'identifier d'autres ordinateurs et appareils. Il capturera également Gestionnaire de réseau local NT (NTLM) paquets, qui contiennent les informations de connexion. Il déploiera également Mimikatz sur chaque point final infecté pour essayer de découvrir les informations d'identification de l'utilisateur. En obtenant un nom de compte utilisateur, le package Maze utilisera diverses techniques pour acquérir le mot de passe.

Le ransomware dépensera plusieurs jours explorer le système, cartographier le réseau et assembler autant que possible la structure des droits d'accès. Le virus agit de manière très similaire aux virus ordinaires. surveillance du système et outils de gestion. Il tente d'accéder à d'autres points de terminaison du réseau. Si le système est un fournisseur de services gérés, le virus tentera de se connecter aux systèmes clients et commencera sa phase de recherche.

Lors de l'examen de chaque point de terminaison nouvellement accédé, le virus recherche les fichiers texte brut qui peut contenir des informations sur le compte utilisateur. Il tentera également de craquer le mot de passe par force brute pour tenter d'accéder aux comptes utilisateur et système sur l'appareil. Le système a le temps et continuera à explorer, à parcourir différents appareils et d'autres techniques d'analyse pour trouver des comptes d'utilisateurs.

Une fois que Maze a trouvé les informations d'identification de l'utilisateur, il peut se déplacer plus rapidement sur le réseau, en utilisant PME et RPC services pour envoyer des fichiers et des logiciels sur d’autres appareils et éventuellement sur les serveurs centraux du système. Le virus créera également ses comptes utilisateurs pour accéder au service de gestion des droits d'accès (ARM) pour le réseau ciblé.

La principale difficulté du combat contre Maze réside dans sa capacité à passer à de nouveaux appareils. Une fois sur un autre appareil, ce module supplémentaire infectera tous les autres appareils du réseau. Ainsi, si le programme ransomware est découvert sur un appareil et supprimé, cet appareil peut rapidement être réinfecté à partir d’un autre appareil infecté.

Comment se produit une attaque du ransomware Maze ?

Maze se propage très rapidement autour d'un réseau. Son objectif ultime est de chiffrer tous les fichiers de données pour exiger une rançon. Une partie de la raison pour laquelle le système tarde à déclencher ce cryptage est que les pirates derrière le logiciel veulent également voler ces données . Ainsi, lorsqu'il atteint un nouveau point de terminaison, il recherche les fichiers, ouvre une connexion à Internet, puis transfère ces fichiers. L'équipe menace plus tard de libérer le contenu de ces fichiers au public ou à la communauté des hackers pour motiver les victimes à payer la rançon.

Une fois toutes les données volées, le cryptage du Maze commence. Le cryptage est effectué avec deux chiffres, qui sont ChaCha20 et RSA . ChaCha20 est une variante du chiffre Salsa20. RSA est un système de cryptage asymétrique largement utilisé dans le cadre du système de sécurité SSL. L'implémentation Maze de RSA utilise une clé de 2 048 bits. ChaCha20 utilise une clé de 256 bits.

Comme chaque fichier est crypté, Maze ajoute une extension supplémentaire à la fin de son nom. Il s'agit d'une série aléatoire de quatre à sept caractères. Lorsque tous les fichiers de l'appareil ont été cryptés, Maze modifie le fond d'écran du bureau de l'ordinateur pour afficher la demande de rançon.

L'utilisateur est dirigé vers un fichier texte que le ransomware a copié sur l'appareil. C'est appelé DECRYPT-FILES.txt . Il explique comment utiliser un décrypteur, qui est également copié sur l'appareil. Cet utilitaire dispose d'un compteur de décryptage et permet de décrypter trois fichiers gratuitement. Payer la rançon achète des crédits pour le décrypteur. L'écran ne nomme pas de prix.

Pendant que la demande de rançon s'affiche sur l'écran de l'ordinateur attaqué, Maze lit également un fichier audio, qui est un message vocal en boucle qui agit comme une alarme.

Le fichier DECRYPT-FIES.txt explique que la victime a trois jours pour contacter les pirates, ou ils publieront une notification de l'attaque sur leur site. Cela serait préjudiciable car cela pourrait amener les entreprises partenaires qui effectuent une analyse des risques liés aux tiers à se retirer de leurs relations avec l'entreprise victime. Si la victime ne contacte pas le groupe au sein sept jours , le groupe Maze publiera toutes les données volées.

La menace de divulgation de données est puissante, car elle bloque les stratégies de récupération que les entreprises pourraient devoir éviter de payer, telles que l'effacement et la restauration à partir d'une sauvegarde. Le groupe est très confiant dans sa puissance et propose même assistance par chat en direct si l'administrateur système rencontre des difficultés à utiliser le descripteur.

La victime doit ouvrir le site Maze dans un navigateur Tor pour recevoir les instructions de paiement puis obtenir la clé de décryptage. Le groupe s'engage également à supprimer toutes les données volées qu'il détient une fois le paiement effectué.

Le ransomware Maze n’a pas de rançon fixe – rappelez-vous que le groupe travaille en partenariat avec d’autres syndicats de cybercriminalité et partage le paiement, et chaque partenaire aura des attentes de revenus différentes. Cependant, on sait que Maze les rançons sont très élevées . Les demandes signalées varient entre 6 et 15 millions de dollars.

D'où vient Maze?

Les hackers derrière Maze ne font pas partie des groupes majeurs ; en fait, ils n’ont pas de nom distinct – ils sont connus sous le nom de Maze, le même que le ransomware. Une routine au sein du système de cryptage vérifie la langue locale de la machine et ne lancera pas l'attaque de cryptage si cette langue est l'une de celles de l'ex-Union soviétique ou du serbe.

Le blocage des interférences avec les ordinateurs utilisés par les Russes ou les populations des États alliés à la Russie rend plus que probable que le groupe de hackers Maze soit basé en Russie . Le code de la suite de programmes Maze est bien ordonné et correctement commenté. Cela indique que les créateurs du système sont programmeurs professionnels . Le code est sans bug et fonctionne bien.

Le système comprend plusieurs techniques d'obscurcissement et est composé de plusieurs modules qui se supportent mutuellement et échangent des données. Cela indique que le ransomware a été développé par concepteurs de systèmes expérimentés et animé par des chefs de projet. Son développement comprenait des tests complets. Maze n’est donc pas le produit d’amateurs, mais le produit d’un effort de groupe bien géré.

Comment gérer le rançongiciel Maze

Bonne nouvelle concernant Maze, le 1er novembre 2020, le groupe a annoncé qu'il cesser les attaques . Cependant, il n’y a aucune raison de les croire. L’absence d’attaques signalées ne signifie pas non plus qu’aucune attaque n’a eu lieu. S’il y a eu un cessez-le-feu, personne ne peut être sûr qu’il sera permanent.

La menace de divulgation de données signifie qu’il est difficile d’ignorer une demande de rançon de Maze. Si votre entreprise est liée à une norme de confidentialité des données, telle qu'une HIPAA , PCI DSS , ou RGPD , les amendes et les compensations que vous auriez à payer pour cette divulgation pourraient finir par coûter plus cher que la rançon. Le groupe Maze a été très intelligent.

Le seul manière infaillible survivre à une attaque de labyrinthe, c'est l'empêcher de se produire en premier lieu. Heureusement, certains excellents systèmes de défense contre les logiciels malveillants bloquent le ransomware Maze. Le groupe Maze pourrait revenir avec une version modifiée qui évite les systèmes de détection mis en place pour repérer le Maze original. Cependant, il existe des options anti-programme malveillant disponibles à l'épreuve du temps car ils recherchent une activité anormale plutôt que des noms de fichiers spécifiques. Ceci est particulièrement utile pour Maze, qui agit plus comme une menace interne que comme une attaque de virus.

Considérez les systèmes de sécurité suivants pour vous défendre contre le ransomware Maze.

1. CrowdStrike Falcon Insight (ESSAI GRATUIT)

Aperçu du faucon CrowdStrike

Aperçu du faucon CrowdStrike est un bon choix pour lutter contre le ransomware Maze. CrowdStrike dispose d'un laboratoire de recherche et connaît tout de Maze et de son fonctionnement. Des routines de blocage contre le ransomware sont donc intégrées à ce package.

Le système Insight offre une couverture coordonnée de tous les points de terminaison . Ceci est très utile pour résoudre le problème de Maze lorsqu'il réinstalle son logiciel sur un point final qui a été nettoyé d'un autre point final infecté.

Insight se trouve dans le cloud et reçoit des rapports des modules résidents des points de terminaison. Le logiciel de surveillance installé sur chaque point final est appelé Faucon Empêcher , qui est disponible en tant que produit autonome. Il s'agit d'un système antivirus de nouvelle génération qui recherche les comportements anormaux. Il télécharge les rapports vers le coordinateur Insight. Insight peut envoyer des instructions instantanées à tous les points finaux dès qu'une infection de Maze est détectée à un endroit. Ainsi, la suppression peut coïncider sur tous les appareils du réseau.

Insight gère réponse aux menaces ainsi que la détection. Les étapes de résolution peuvent inclure la suspension du compte utilisateur, l'isolement des appareils du réseau et le verrouillage des fichiers pour Active Directory. Insight fonctionne bien contre menaces internes et intrusion ainsi que les virus.

Vous pouvez bénéficier d’un essai gratuit de 15 jours de Falcon Prevent.

CrowdStrike Falcon Prevent Start Essai GRATUIT de 15 jours

deux. ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus est un système de protection pour données sensibles . Comme expliqué, la menace que Maze publie les données qu'il vole constitue un problème grave pour les entreprises qui suivent une norme de confidentialité des données. DataSecurity Plus garantit la sécurité des données sensibles.

Le système recherche tous vos réseaux à la recherche de magasins de données, puis classe les données dans chacun. Cela vous permet de savoir exactement où se trouvent toutes les données précieuses.

Le système ManageEngine comprend également un moniteur d'intégrité des fichiers qui peut chacun sur ces emplacements de données sensibles et signaler toutes les tentatives d'accès. Cela verrouille les données que vous ne pouvez vraiment pas vous permettre de divulguer. Les informations essentielles étant protégées, vous pouvez raisonnablement ignorer les menaces du labyrinthe même s'ils entrent. Allez-y, effacez tous les points de terminaison et restaurez-les à partir de la sauvegarde.

ManageEngine DataSecurity Plus est disponible pour un 30 jours d'essai gratuit .

^