Ransomware Maze : signification et définition
Le ransomware Maze est une souche complexe de ransomwares Windows qui cible les organisations du monde entier dans de nombreux secteurs. Comme d'autres formes de ransomwares, Maze exige un paiement en cryptomonnaie en échange de la récupération des données chiffrées en toute sécurité.
Si les victimes du ransomware Maze refusent d'effectuer le paiement, les criminels menacent de divulguer les données confidentielles des victimes. Ce comportement est de plus en plus souvent observé dans les nouvelles formes de ransomwares, notamment REvil/Sodinokibi, JSWorm/Nemty/Nefilim, Clop et bien d'autres.
Qu'est-ce que le ransomware Maze ?
Conçu comme une variante du ransomware ChaCha, Maze a été initialement découvert en mai 2019. Depuis décembre 2019, Maze a été très actif en ciblant des victimes dans de nombreuses industries.
Comment fonctionne le ransomware Maze ?
Maze est généralement distribué par différents moyens :
- Les emails non sollicités, utilisant souvent des liens malveillants ou des pièces jointes (principalement des fichiers Word ou Excel)
- Les attaques par force brute RDP
- À l'aide d'un kit d'exploitation
Dans certains cas, l'attaque peut provenir d'un client ou d'un partenaire d'une organisation qui a déjà été victime de pirates informatiques. Une fois que Maze a accédé à un réseau, les opérateurs essaient d'obtenir des privilèges élevés afin de pouvoir chiffrer les fichiers sur l'ensemble des disques. Maze est particulièrement dangereux, car il vole également les données qu'il trouve et les exfiltre vers des serveurs contrôlés par des pirates malveillants qui menacent ensuite de les publier si une rançon n'est pas payée.
Les organisations peuvent être en mesure de restaurer leurs données à partir d'une sauvegarde sécurisée pour être à nouveau opérationnelles (si la sauvegarde elle-même n'a pas été compromise), mais cela ne change rien au fait que les criminels disposent également d'une copie des données de l'organisation. Essentiellement, Maze est la combinaison d'une attaque par ransomware et d'une violation de données.
Site Web du ransomware Maze
Les créateurs de Maze disposent d'un site Web où ils dressent la liste de leurs victimes (qu'ils appellent « clients »). Sur ce site Web, ils publient fréquemment des échantillons de données volées en guise de punition. Le site Web indique à quel moment les victimes ont été touchées par le ransomware Maze et propose des liens vers des téléchargements de données et de documents volés à titre de « preuve ». De manière provocante, le site Web affiche le slogan ironique « Keeping the world safe » (Protéger le monde) et inclut même des boutons de partage vers les réseaux sociaux afin que les détails des violations de données puissent être partagés par les réseaux sociaux.
Le site Web du ransomware Maze avertit les victimes que, si la rançon n'est pas payée, les pirates informatiques :
- Rendront publics les détails des atteintes à la sécurité et en informeront les médias
- Vendront les informations volées ayant une valeur commerciale sur le Web caché
- Informeront les bourses appropriées du piratage et de la perte d'informations sensibles pour faire baisser le cours de l'action de l'entreprise
- Utiliseront les informations volées pour attaquer des clients et des partenaires, et les informeront que l'entreprise a été piratée
Maze fonctionnerait par le biais d'un réseau affilié, où les concepteurs partagent leurs revenus avec divers groupes qui utilisent Maze dans des réseaux organisationnels.
En 2020, les criminels à l'origine de Maze se sont associés à deux autres groupes cybercriminels, LockBit et RagnarLocker, formant ainsi un cartel de ransomwares. Les criminels ont uni leurs efforts, et les données volées par ces groupes ont été publiées sur le site Web de Maze. À la suite de cette collaboration, Maze a utilisé des techniques d'exécution qui n'étaient auparavant utilisées que par RagnarLocker.
La fin du ransomware Maze ?
Fin 2020, le groupe du ransomware Maze a annoncé sa fermeture par le biais d'une déclaration confuse. Il a indiqué qu'il ne mettrait plus à jour le site Web et que les victimes qui souhaitaient que leurs données soient supprimées pouvaient contacter leur « tchat d'assistance ».
Le groupe a affirmé avoir lancé ces attaques pour sensibiliser le public à la cybersécurité. Parallèlement, le groupe a affirmé de manière confuse qu'il n'avait jamais réellement existé en dehors des journalistes qui en ont parlé.
Il a également affirmé avoir eu accès aux systèmes informatiques du gouvernement de l'État de New York et de plusieurs fournisseurs d'accès Internet (FAI), mais a choisi de ne pas les attaquer.
Les déclarations de dissolution du groupe sont à prendre avec des pincettes. Auparavant, les opérateurs du ransomware GandCrab avaient annoncé qu'ils cessaient leurs activités, avant de réapparaître sous le nom de REvil/Sodinokibi. Des similitudes entre Maze et deux nouvelles souches de ransomwares connues sous le nom d'Egregor et de Sekhmet ont été observées, ce qui indique clairement que le groupe est simplement en train de passer à une nouvelle vague de cyberattaques.
Attaques par le ransomware Maze : exemples
Parmi les exemples notables de victimes du ransomware Maze, on trouve :
Attaque par le ransomware Maze visant Cognizant
L'une des attaques par le ransomware Maze les plus médiatisées a visé Cognizant, une entreprise classée au Fortune 500 et l'un des plus grands fournisseurs de services informatiques au monde.
En avril 2020, Cognizant a été attaquée par le groupe du ransomware Maze, perturbant les services offerts à ses clients. L'attaque a chiffré et désactivé certains de ses systèmes internes et l'a obligé à mettre d'autres systèmes hors ligne.
L'attaque a eu lieu alors que la pandémie de Covid-19 était en cours et que le personnel tentait de travailler à distance. En perturbant les systèmes informatiques soutenant l'infrastructure des bureaux virtuels, la capacité des employés à travailler a été touchée. Les annuaires internes ont été supprimés, ce qui a rendu plus difficile la communication entre les membres du personnel et la communication des équipes de vente avec les clients et les clients potentiels. Dans certains cas, l'accès à la messagerie électronique a été perdu.
Certains clients de Cognizant ont choisi de se protéger contre les logiciels malveillants en fermant l'accès de Cognizant à leurs réseaux, mettant ainsi des projets en attente. Cognizant a fait appel à des experts en cybersécurité reconnus pour aider ses équipes internes de sécurité informatique. L'attaque par ransomware visant Cognizant a également été signalée aux forces de l'ordre, et les clients de Cognizant ont été tenus informés en permanence de la situation.
Dans ses notifications de violation des données, Cognizant a prévenu que des informations personnelles sensibles, comme les numéros de sécurité sociale, les identifiants fiscaux, les informations financières, les permis de conduire et les passeports, pourraient avoir été volées. Pour les employés qui possédaient des cartes de crédit d'entreprise, l'entreprise a prévenu que celles-ci avaient probablement été exposées pendant l'attaque. Pour les personnes concernées, Cognizant a offert une année gratuite de surveillance du vol d'identité et du Web caché.
Selon les estimations, l'attaque par le ransomware Maze contre Cognizant a coûté à l'entreprise entre 50 et 70 millions de dollars dans l'immédiat, et d'autres frais ont été encourus par la suite pour restaurer entièrement ses systèmes informatiques.
Parmi les clients de Cognizant figurent les entreprises de services financiers ING et Standard Life, l'entreprise automobile Mitsubishi Motors et l'entreprise de services de RH PeopleSoft. L'entreprise n'a pas révélé quels clients ont été touchés par l'attaque.
Attaque par le ransomware Maze visant Canon
En août 2020, Canon aurait été victime d'une attaque par le ransomware Maze. Le groupe a extrait jusqu'à 10 To de données de Canon. L'incident a touché environ 25 domaines Canon différents et un certain nombre de ses applications internes, y compris ses services de messagerie et de collaboration.
L'attaque du ransomware Maze a touché les utilisateurs du service de stockage gratuit de 10 Go. Canon a reconnu que toutes les données ou images sauvegardées avant le 16 juin 2020 ont été perdues, mais a déclaré qu'il n'y avait aucune fuite de données d'images. Bien que non accessibles, des vignettes de ces informations pouvaient encore être consultées en ligne. Cependant, en cliquant sur l'un des clichés, une erreur se produisait sur le site Web.
Attaque par le ransomware Maze visant Xerox
En juillet 2020, les opérateurs du ransomware Maze ont affirmé avoir pénétré dans les systèmes de Xerox et menacé de divulguer des quantités massives de données s'ils ne recevaient aucun paiement. Le groupe a publié une série de 10 captures d'écran sur son site Web comme preuve de la violation. Ces captures d'écran indiquaient que le groupe avait volé des données relatives aux opérations de service clientèle.
Attaque par le ransomware Maze visant la ville de Pensacola
La ville de Pensacola en Floride a été attaquée à la fin de l'année 2019. Le groupe du ransomware Maze a menacé de divulguer des données si une rançon d'un million de dollars n'était pas payée. Le groupe aurait volé plus de 32 Go de données dans les systèmes infectés de la ville. Il a en a divulgué 2 Go comme preuve de l'attaque.
À la suite de l'attaque du ransomware Maze, les services de paiement en ligne de Pensacola Energy et des services d'assainissement de la ville de Pensacola ont été interrompus. Heureusement pour les résidents, les autres services, comme la police et les pompiers n'ont pas été touchés.
Devriez-vous payer une rançon en cas d'attaque par le ransomware Maze ?
Il est recommandé de ne pas le faire. Plus le nombre de personnes qui paient la rançon est élevé, plus les criminels sont susceptibles de lancer des attaques similaires à l'avenir.
Cela dit, certaines entreprises peuvent avoir le sentiment que si elles n'effectuent pas le paiement, leur activité ne pourra pas survivre. Il n'y a pas de réponse facile et, en fin de compte, c'est à chaque organisation de prendre une décision en fonction de sa situation. Quelle que soit la décision prise, il est recommandé d'impliquer les forces de l'ordre et de collaborer étroitement avec elles afin qu'elles puissent enquêter sur les personnes susceptibles d'être à l'origine de ces attaques.
Que les organisations paient ou non la rançon, il est essentiel de comprendre les problèmes de sécurité qui ont conduit à l'attaque en premier lieu. Les organisations doivent déterminer ce qui n'a pas fonctionné et comment y remédier afin de prévenir les attaques cybercriminelles à l'avenir.
En réponse à l'approche du malware Maze, le FBI conseille aux entreprises de créer de manière proactive des caches de données factices. Ces fausses collections de données sont destinées à compliquer la tâche des attaquants qui souhaitent voler des fichiers réellement importants lors d'un piratage.
Comment vous protéger contre le ransomware Maze ?
Les ransomwares continuent d'évoluer. La meilleure défense contre ce fléau est la prévention proactive, car une fois que les données ont été chiffrées par des logiciels malveillants ou des pirates, il est souvent trop tard pour les récupérer.
Voici quelques conseils destinés à aider les organisations à prévenir les attaques par ransomware :
1. Maintenez les logiciels et les systèmes d'exploitation à jour
En gardant les logiciels et les systèmes d'exploitation à jour, vous vous protégerez contre les logiciels malveillants. Appliquez des correctifs et des mises à jour pour les logiciels, comme Microsoft Office, Java, Adobe Reader, Adobe Flash, et les navigateurs Internet, comme Internet Explorer, Chrome, Firefox, Opera, etc., y compris les plug-ins de navigateur. Lorsque vous exécutez une mise à jour, vous bénéficiez des correctifs de sécurité les plus récents, ce qui rend plus difficile pour les cybercriminels d'exploiter les vulnérabilités de votre logiciel.
2. Utilisez un logiciel de sécurité
Puisque le cybercrime devient de plus en plus répandu, la protection contre les ransomwares est plus que jamais indispensable. Protégez les ordinateurs contre les ransomwares à l'aide d'une solution de sécurité Internet, comme Kaspersky Internet Security. Lorsque vous téléchargez ou diffusez du contenu, le logiciel bloque les fichiers infectés, empêchant ainsi les ransomwares d'infecter votre ordinateur et tenant les cybercriminels à distance.
3. Utilisez un VPN pour accéder au réseau
Utilisez un VPN pour accéder au réseau au lieu d'exposer le protocole de connexion bureau à distance (RDP) à Internet. Kaspersky Secure Connection assure la confidentialité en ligne et l'accès au contenu mondial.
4. Sauvegardez les données
Sauvegardez régulièrement vos données dans un endroit sûr, hors site, afin de pouvoir restaurer les données volées en cas d'attaque. Un moyen facile d'y parvenir est d'activer les sauvegardes automatiques au lieu de compter sur un utilisateur pour d'en souvenir systématiquement. Les sauvegardes doivent être régulièrement testées pour s'assurer que les données sont enregistrées.
5. Sensibilisez et informez le personnel au sujet des risques liés à la cybersécurité
Les organisations doivent s'assurer que le personnel est informé des méthodes utilisées par les cybercriminels pour infiltrer les organisations par voie électronique. Formez tous les employés aux pratiques exemplaires en matière de cybersécurité, par exemple :
- Évitez de cliquer sur des liens contenus dans des spams ou sur des sites Web inconnus. Un ordinateur peut être infecté par des téléchargements qui démarrent lorsque vous cliquez sur des liens malveillants.
- Évitez de télécharger des logiciels ou des fichiers multimédias à partir de sites Web inconnus.
- Évitez d'ouvrir des pièces jointes provenant d'expéditeurs en qui vous ne faites pas confiance. Regardez qui est l'expéditeur et vérifiez que l'adresse email est correcte. Veillez à évaluer l'authenticité d'une pièce jointe avant de l'ouvrir. Si vous n'êtes pas certain de son authenticité, contactez la personne qui, selon vous, a envoyé la pièce jointe et procédez à une nouvelle vérification.
- Si vous recevez un appel, un message ou un email d'une source non fiable qui demande des informations personnelles, ne les lui donnez pas.
- Utilisez uniquement une technologie sécurisée pour établir une connexion à distance dans le réseau local d'une entreprise.
- Utilisez une sécurité des terminaux intégrant la détection des comportements et la récupération automatique des fichiers, comme Kaspersky Endpoint Security for Business.
- Utilisez des mots de passe uniques et difficiles à pirater pour protéger les données et les comptes sensibles, ainsi que pour activer l'authentification multi-facteurs.
- Chiffrez les données sensibles dans la mesure du possible.
Que le groupe du ransomware Maze se dissolve ou qu'il se transforme simplement en un autre groupe criminel, la menace des ransomwares persistera. Comme toujours, la vigilance est de mise pour garder une longueur d'avance sur les cybermenaces en constante évolution.
Articles connexes :