Maze Ransomware Group اعلام کرد که در حال خاموش کردن عملیات است

webiyan نوامبر 4, 2020 0 Comments

گروه معروف باج افزار Maze در اطلاعیه ای که در وب سایت خود منتشر کرده ادعا می کند که عملیات را متوقف می کند. این گروه یکی از فعال ترین گروه های سرقت داده باج افزار است. با این حال این گروه ادعا می کند که آنها برای اخاذی مشاغل برای منافع مالی اقدام به راه اندازی نکرده اند. نه اینکه اقدامات امنیتی ملایم را که قربانیان آنها استفاده کرده اند برجسته کنید.

Maze Ransomware's History

Maze در ماه مه سال 2019 فعالیت خود را آغاز کرد زیرا یک گروه باج افزار دیگر قربانیان را با بدافزار رمزگذاری پرونده آلوده می کند. با این حال ، Maze به دلیل اینکه اولین گروه باج افزارهایی است که اطلاعات را پراکنده می کند ، در اواخر همان سال بدنام شد. این گروه اولین کسی بود که اطلاعات قربانیان را قبل از رمزگذاری رمزگذاری می کرد و در صورت عدم پرداخت دیه ، آنها را به صورت آنلاین درز می کرد. از آن زمان ، بسیاری دیگر از گروه های باج افزار از این روش اخاذی مضاعف کپی کرده اند ، از جمله REvil ، Nemty ، Ryuk و Clop.

Maze در ابتدا از تبلیغات ناخواسته برای آلوده کردن قربانیان استفاده می کرد. با این حال ، بعداً شروع به استفاده از آسیب پذیری های شناخته شده امنیتی کرد تا به طور خاص سازمان های بزرگ شناخته شده ای مانند Chub Insurance را هدف قرار دهد. Maze به دلیل استفاده از آسیب پذیری در VPN ها و پروتکل دسک تاپ راه دور (RDP) برای راه اندازی حملات هدفمند شناخته شده است. طبق تحقیق انجام شده توسط FireEye ، فقط در یک سال گذشته بیش از 100 قربانی ماز وجود داشته است. علاوه بر این ، گروه تقریباً هر منطقه جغرافیایی و بخش صنعت را هدف قرار داده است.

سپس در ژوئن سال 2020 ، این گروه با تشکیل گروه مشترک باج افزارهای LockBit ، RagnarLocker و SunCrypt یک کارتل تشکیل داد. کارشناسان معتقدند که گروه باج افزار Maze منابع و همچنین تکنیک های حمله و تخصص را با اعضای کارتل به اشتراک گذاشته است. با این حال ، در اطلاعیه ای که به انگلیسی شکسته نوشته شده و روز گذشته در وب سایت خود منتشر شد ، این گروه وجود این کارتل را انکار کرد. این در حالی است که ماز در گذشته از خود به عنوان یک کارتل یاد کرده است.

"ما هرگز شریک یا جانشین رسمی نداشتیم. متخصصان ما با هیچ نرم افزار دیگری کار نمی کنند. هیچ کس و هرگز قادر به میزبانی شرکای جدید در وب سایت خبری ما نخواهد بود. کارتل ماز هرگز وجود نداشته و اکنون نیز وجود ندارد. این گروه فقط در داخل روزنامه نگارانی یافت می شود که درباره آن مطلب نوشتند. "

اطلاعیه

در سپتامبر 2020 شایعاتی مبنی بر اینکه گروه باج افزار Maze فعالیت های خود را متوقف می کند آغاز شد. چندی نگذشته بود که گزارش هایی مبنی بر اینکه رمزگذاری رمزگذاری قربانیان جدید را متوقف کرده و وب سایت آنها را تمیز می کند ، منتشر نشد. اطلاعات سرقت شده توسط Maze از وب سایت آنها حذف می شد و بنابراین دیگر در وب تاریک در دسترس نبود.

سپس اعلامیه روز گذشته گروه باج افزار Maze به تاریخ 1 نوامبر ، شایعات را تأیید کرد. "پروژه Maze Team اعلام کرد که به طور رسمی بسته شده است. تمام پیوندهای مربوط به پروژه ، با استفاده از مارک تجاری ما ، روش کار ما باید کلاهبرداری تلقی شود. " باز هم ، گرامرها و غلط های املایی در اعلامیه به وضوح نشان می دهد که زبان انگلیسی زبان مادری اپراتورهای Maze نیست.

به عنوان بخشی از اعلامیه ، Maze ادعا می کند که آنها برای اخاذی مشاغل برای منافع مالی اقدام به راه اندازی نکرده اند. ماز ادعا می کند که آنها به قربانیان حمله کردند تا "شما را در مورد ذخیره سازی اطلاعات امن یادآوری کنند." و برجسته سازی اینکه "وقتی امنیت امنیت سایبری در میان است ،" جهان ما در بی پروایی و بی تفاوتی ، در تنبلی و حماقت فرو می رود ". "با تمام بی احتیاطی ، ناآگاهی و حماقت خود ، جهان را به سمت آن سوق می دهید." برت کالوو ، تحلیلگر تهدید در شرکت امنیتی Emsisoft ، گفت: "بدیهی است که ادعاهای Maze باید با کمی نمک بسیار کم مصرف شود." "مطمئناً ممکن است این گروه احساس کند که به اندازه کافی پول درآورده اند تا بتوانند مغازه را ببندند و به غروب آفتاب بروند. با این حال ، همچنین ممکن است – و احتمالاً بیشتر احتمال دارد – که آنها تصمیم به تغییر نام تجاری گرفته اند. "

اکثر کارشناسان معتقدند که Maze احتمالاً فقط به عملیات Egregor روی آورده است. دلیل این امر این است که اعتقاد بر این است که Egregor ، Maze و Sekhmet همه از یک نرم افزار اساسی ساخته شده اند. Egregor همچنین یادداشت های باج افزار و طرح های نامگذاری سایت پرداخت را با Maze و Sekhmet به اشتراک می گذارد. گزارش شده است که گروه باج افزار Egregor حدود یک هفته پس از افشای حمله ، مسئولیت حمله سایبری بارنز و نوبل را بر عهده گرفت.

به گفته پیتر مکنزی ، مدیر پاسخ حوادث در Sophos Rapid Response ، این نوع خاموش شدن قبلاً با سایر گروههای مخرب دیده شده است. "در ژوئن 2019 ، اپراتورهای پشت GandCrab بازنشستگی خود را اعلام کردند و همه شرکت های وابسته به آن به REvil نقل مکان کردند. اکنون وابسته های Maze ظاهراً در حال انتقال به گروه جدیدی هستند ، Egregor ، که طبق گزارش های عمومی به ابزارها و زیرساخت های Maze دسترسی دارد. "، مکنزی به ITWire توضیح داد. در نتیجه ، مکنزی هشدار می دهد که سازمان ها نباید مراقب خود باشند. سازمانها "باید توجه خود را معطوف به اینكه چه كسی به آنها حمله می كند ، نكنند ، بلكه چگونه – و همچنان به تقویت دفاع خود در برابر انواع تهدیدات سایبری ، بدون در نظر گرفتن اینكه از كجا می آیند ، متمرکز كنند." که آنها برمی گردند. "هنگامی که جهان متحول می شود ، ما به شما باز خواهیم گشت. ما برمی گردیم تا دوباره خطاها و اشتباهات را به شما نشان دهیم و شما را از ماز بیرون بیاوریم. "