Киберпреступная банда Maze прекращает свою деятельность после того, как стала одним из самых известных игроков, осуществляющих атаки с использованием программ-вымогателей.
Программа-вымогатель Maze начала работать в мае 2019 года, но активизировалась в ноябре.
Именно тогда операция, ориентированная на средства массовой информации, произвела революцию в атаках программ-вымогателей, применив тактику двойного вымогательства.
Сначала они крадут ваши файлы, а затем шифруют их
Хотя программы-вымогатели всегда дразнили новостные сайты и исследователей , по большей части они, как правило, игнорировали электронные письма журналистов.Это изменилось в ноябре 2019 года, когда Maze связался с BleepingComputer, чтобы сообщить нам, что они украли незашифрованные данные для Allied Universal перед их шифрованием.
Maze заявил, что, если Allied не заплатит выкуп, их данные будут обнародованы. В конечном итоге выкуп не был уплачен, и Maze опубликовал украденные данные.
Вскоре после этого Maze запустили сайт «Maze News», который они используют для публикации данных о неоплачиваемых жертвах и выпуска «пресс-релизов» для журналистов, которые следят за их деятельностью.
Сайт утечки данных лабиринта
Эта техника двойного вымогательства была быстро принята другими крупными операциями с программами-вымогателями, включая REvil, Clop, DoppelPaymer, которые выпустили свои собственные сайты утечки данных. . Этот метод двойного вымогательства теперь стал стандартной тактикой, используемой почти во всех операциях с программами-вымогателями.
Maze продолжал развивать операции с программами-вымогателями, создав картель вымогателей с Ragnar Locker и LockBit для обмена информацией и тактиками.
В течение полутора лет киберпреступности Maze несет ответственность за атаки на известных жертв, включая Southwire , City of Pensacola , Canon , LG Electronics , Xerox и многих других.
Лабиринт начал отключаться шесть недель назад
В начале прошлого месяца до BleepingComputer начали поступать слухи о том, что Maze готовится завершить работу программы-вымогателя точно так же, как GandCrab в 2019 году. .Завершение операций было позже подтверждено после того, как с BleepingComputer связался злоумышленник, участвовавший в атаке программы-вымогателя Barnes and Noble .
Этот злоумышленник заявил, что принимает участие в атаках программ-вымогателей, взламывая сети и крадя учетные данные домена Windows. Скомпрометированные сети затем передаются аффилированным лицам, которые развертывают программу-вымогатель.
Затем группа, взломавшая сети, аффилированное лицо и разработчики программ-вымогателей, получают равные доли любых выплат выкупа.
В рамках нашего разговора BleepingComputer сообщили, что Maze закрывает свою работу, прекратил шифрование новых жертв в сентябре 2020 года и пытается выжать у жертв последние выплаты выкупа.
BleepingComputer сказал, что лабиринт выключен
Когда BleepingComputer обратился к Maze, чтобы подтвердить, закрываются ли они, нам сказали: «Вам следует дождаться пресс-релиза».
На этой неделе Maze начал удалять жертв, которых они указали на своем сайте утечки данных. Все, что осталось на сайте, - это две жертвы и те, кто ранее и опубликовал все свои данные.
Очистка сайта утечки данных указывает на неизбежное завершение работы программы-вымогателя.
Операции программ-вымогателей нередко выпускают главные ключи дешифрования при завершении работы, как это было сделано с Crysis , TeslaCrypt и Shade. .
BleepingComputer обратился к Maze, чтобы спросить, отпустят ли они свои ключи, когда завершат работу, но не получили ответа.
Филиалы переходят на программу-вымогатель Egregor
BleepingComputer стало известно, что многие филиалы Maze перешли на новую операцию вымогателей под названием Egregor.Egregor начал работу в середине сентября, как раз в тот момент, когда Maze начали отключать свою операцию шифрования. Он быстро стал очень активным, как видно из графика отправки ID-Ransomware ниже.
График отправки Egregor в ID-RansomwareСчитается, что Egregor - это то же базовое программное обеспечение, что и Maze и Sekhmet, поскольку они используют те же записки о выкупе, одинаковые названия платежных сайтов и имеют большую часть того же кода.
Это также подтвердил злоумышленник, который заявил, что Maze, Sekhmet и Egregor являются одним и тем же программным обеспечением.
Майкл Гиллеспи, который проанализировал и Эгрегора, и Сехмет, также обнаружил, что жертвам Эгрегора, заплатившим выкуп, были отправлены дешифраторы с названием «Сехмет Декриптор».
Расшифровщик Эгрегора
К сожалению, это показывает, что даже когда работа программы-вымогателя прекращается, это не означает, что задействованные злоумышленники также удаляются. Они просто переходят к следующей операции вымогателя.