Ransomware Maze detrás del ataque de Pensacola

Maze extrae datos y bloquea los sistemas. Las autoridades dijeron que aún no saben si se ha violado la información personal de los residentes.

Rasomware MAZE es el responsable

El ransomware Maze es probablemente el culpable del ciberataque recientemente reportado en Pensacola, Florida, que ocurrió a principios de esta semana y que derribó los sistemas de toda la ciudad.

En un correo electrónico  enviado a los  comisionados del condado, los administradores de TI dijeron que el Departamento de Aplicación de la Ley de Florida dijo que el ataque de Pensacola fue efectivamente ransomware, y los operadores de Maze rápidamente  se responsabilizaron  por el incidente, diciendo que están exigiendo un rescate de $ 1 millón.

A partir del miércoles, los sistemas de Pensacola volvieron a funcionar lentamente, ya que el personal de TI eliminó la red de malware, dijeron funcionarios al  Pensacola News Journal  (los pagos en línea para los clientes de Pensacola Energy y saneamiento de la ciudad se mantuvieron bajos). No está claro si la ciudad está pagando el rescate, pero las autoridades dijeron que aún no saben si se ha violado la información personal de los residentes.

Los temores de violación de datos son particularmente relevantes dado que Maze tiene una peculiaridad que no se encuentra en la mayoría de los ransomwares: además de cifrar archivos y ofrecer la clave de descifrado a cambio de un pago de rescate, también copia automáticamente todos los archivos afectados a los servidores de los operadores maliciosos, según los investigadores

«Para las víctimas de Maze, el hecho de que los atacantes hayan extraído los datos significa que el incidente es una violación de datos, así como una infección de malware», explicó Duo Security, en una publicación sobre el incidente de Florida el miércoles. «Esto cambia el libro de jugadas de respuesta a incidentes, ya que el departamento de TI tendrá que recurrir a los departamentos legales y de otro tipo para considerar qué pasos adicionales serán necesarios para recuperarse de la infección».

Para las víctimas de Maze, el hecho de que los atacantes hayan extraído los datos significa que el incidente es una violación de datos, de esta manera como una infección de malware», explicó Duo Security, en una publicación sobre el incidente de Florida el miércoles. «Esto cambia el libro de jugadas de respuesta a incidentes, ya que el departamento de TI tendrá que recurrir a los departamentos legales y de otro tipo para considerar qué pasos adicionales serán necesarios para recuperarse de la infección».

Por ejemplo, algunas organizaciones y municipios se han negado a pagar rescates, en un esfuerzo por cortar las fuentes de ingresos de los cibercriminales y evitar convertirse en víctimas repetidas. La decisión de pagar o no pagar generalmente se reduce a si es posible restaurar los datos de las copias de seguridad y a los factores de costo de ponderación, como el costo del tiempo de inactividad y los esfuerzos de limpieza.

«Con Maze, existe la posibilidad de que se exponga información potencialmente confidencial, como información de identificación personal, listas de clientes y propiedad intelectual, si no se paga el rescate. Incluso si la organización puede darse el lujo de reconstruir y restaurar por sí misma, puede sentir la presión de pagar solo para mantener los archivos fuera del dominio público», según los investigadores de Duo Security.

El ransomware Maze, una variante del ransomware ChaCha , fue encontrado inicialmente por el investigador de seguridad de Malwarebytes Jérôme Segura en mayo. Observó que el ransomware previamente desconocido se distribuía utilizando el kit de explotación Fallout, a través de un sitio falso camuflado como una aplicación legítima de intercambio de criptomonedas. Desde entonces, ha surgido en una serie de ataques, incluido uno contra la compañía de seguridad Allied Universal el mes pasado.

Según los informes , los delincuentes en ese ataque pidieron un rescate de $ 2.3 millones a cambio de la clave de descifrado y una promesa de no divulgar los datos de la compañía. Cuando Allied Universal no cumplió con la fecha límite para pagar, el grupo Maze publicó 700 MB de datos (solo el 10 por ciento de lo que los ladrones afirmaron haber robado).

También en noviembre, se vio a un nuevo actor de amenazas que se hacía pasar por el Servicio Postal de los EE. UU. (USPS) y otras agencias gubernamentales para entregar e instalar malware Maze y backdoor a varias organizaciones en Alemania, Italia y los Estados Unidos, según Proofpoint.

Duo Security señaló que es una «posibilidad preocupante» que el ataque de Pensacola esté vinculado a la debacle de Allied Universal.

«Allied Universal tiene oficinas en Pensacola, y si hubiera información relacionada con la ciudad en sus archivos, el grupo detrás de la infección podría haber utilizado esa información contra la ciudad [en una campaña de phishing», según Duo Security.

«Otra posibilidad es que si Allied proporcionó servicios de seguridad a la ciudad, la infección podría haberse apoderado de un empleado de Allied para pasar de una red a otra. Esto convierte el ataque de ransomware en una violación de datos usando un proveedor externo».

Esto plantea la posibilidad de que los atacantes estén elaborando campañas secundarias usando información robada de la primera, lo que posiblemente establezca un escenario de ataques de seguimiento en cascada continua.

«La evolución de las infecciones por ransomware como precursoras de ataques contra otras organizaciones es muy preocupante», señaló Duo Security. «[Esto] destaca cómo un incidente de seguridad en una organización pone en riesgo a otras».

Por su parte, en una entrevista con Bleeping Computer, el grupo Maze responsable de Pensacola dijo que no usa los datos para ningún otro propósito que no sea la extorsión. «No somos un grupo de espionaje ni ningún otro tipo de APT», dijo el grupo criminal a la publicación. El grupo también dijo que no está interesado en «objetos socialmente vitales» como el 911 y los centros de atención médica, y que intenta evitar cifrar los servicios esenciales de seguridad pública.

Según los expertos en seguridad de Kaspersky, 2019 ha visto un aumento significativo de los ataques de ransomware en los municipios. En un informe de esta semana, la firma dijo que el ransomware municipal es «la historia del año», con al menos 174 instituciones municipales y más de 3.000 divisiones de subconjuntos que fueron atacadas en 2019. Esto representa un aumento del 60 por ciento respecto al año pasado.

Al analizar la información disponible públicamente, Kaspersky también descubrió que las demandas de rescate han variado enormemente con máximos que alcanzan hasta $ 5.3 millones a $ 1 millón en promedio.

La empresa señaló que si bien estos objetivos podrían ser menos capaces de pagar un gran rescate, es más probable que acepten las demandas de los ciberdelincuentes, dado que el bloqueo de los servicios municipales afecta directamente el bienestar de los ciudadanos en pérdidas financieras, así como otros importantes y sensibles Consecuencias.

«Siempre hay que tener en cuenta que pagar a los extorsionistas es una solución a corto plazo que solo alienta a los delincuentes y los mantiene financiados para que posiblemente repitan los mismos actos», dijo Fedor Sinitsyn, investigador de seguridad de Kaspersky, en un comunicado. «Además, una vez que una ciudad ha sido atacada, toda la infraestructura se ve comprometida y requiere una investigación de incidentes y una auditoría exhaustiva».

Si bien Maze parece ser una amenaza emergente, las principales familias de ransomware Ryuk, Purga y Stop encabezaron la lista de malware municipal de Kasperksy. Todos ellos tienen características de ataque únicas que las ciudades deben tener en cuenta, informan los expertos.

«Ryuk … [tiene un] modelo de distribución [que] generalmente implica la entrega a través de malware de puerta trasera que se propaga mediante phishing con un archivo adjunto malicioso disfrazado de documento financiero», según el informe.

“El malware Purga ha sido reconocido desde 2016, pero solo recientemente se ha descubierto que los municipios son víctimas de este troyano, que tiene varios vectores de ataque desde phishing hasta ataques de fuerza bruta. Pare … se propaga escondiéndose dentro de los instaladores de software».

Ryuk es particularmente notorio. Es una cepa de ransomware distribuida por el sindicato de delincuencia financiera Wizard Spider de habla rusa, descubierta por primera vez en agosto de 2018. Desde entonces, ha estado involucrada en varios ataques de alto perfil, como un ataque cibernético de ransomware coordinado y dirigido  contra 23 locales y estatales de Texas entidades en agosto.

A pesar de que la decisión de pagar el rescate tiene varias dimensiones que serán exclusivas de cada víctima (incluida, ahora, la amenaza de una violación de datos), algunos investigadores instan a los afectados a considerar el pago como un mal servicio público.

«Mientras nosotros como sociedad sigamos pagando rescates, estos ataques continuarán», dijo Cody Brocious, hacker y jefe de Hacker Education en HackerOne, por correo electrónico.“Mantenga copias de seguridad periódicas (¡fuera de línea!), Mantenga sus sistemas actualizados y no pague rescates, si es que lo golpean.

En este punto, es similar a elegir no vacunarse contra la gripe; claro, si está sano, entonces no es probable que muera de gripe, pero puede transmitirlo a alguien que lo hará. Ceder ante estos delincuentes es actuar en contra del bien público, lo que acaba protegiendo a las organizaciones de las consecuencias de no tomar sus datos en serio».

Felipe Argüello
Felipe Argüello

Felipe Argüello es el fundador de Infoteknico. Ingeniero con más de 30 años de experiencia trabajando en América Latina, Estados Unidos y Europa en las áreas de ingeniería, consulta técnica, proyectos, ventas y entrenamiento en soluciones de alta tecnología y seguridad electrónica.

Artículos: 707