A partire dalla fine del 2019, il ransomware Maze è diventato (tragicamente) famoso per le sue attività di criptazione, furto dati e vendita dei dati rubati online. Tra i motivi della sua popolarità anche il fatto che mira sempre obiettivi specifici e che chiede riscatti molto alti. 

Fin dalla sua prima individuazione, risalente al Maggio 2019, i gestori di Maze si sono rivolti contro più settori, tra i quali però spiccano quello sanitario e della ricerca, perchè rappresentano un vero e proprio tesoro di dati sensibili. Questo non significa che Maze non abbia preso di mira anche aziende private e enti pubblici / governativi. Nella maggior parte dei casi, gli attaccanti si sono presentati come agenzie governative o vendor di soluzioni di sicurezza, inviando email ai dipendenti per convincerli ad aprire allegati o collegarsi a siti web: in alcuni casi invece le reti erano già state violate molto tempo prima della distribuzione del ransomware.

Le richieste di riscatto variano in base ai dati sottratti dalla rete compromessa, ma anche dalla capacità di pagamento della vittima. Le richieste di riscatto, rigorosamente in Bitcoin, variano dalle poche centinaia ai milioni di dollari. 

Maze non usa soltanto le email come vettore di attacco, ma anche exploit kit come fallout EK e Spelevo EK, che sfruttano vulnerabilità di Adobe Flash Player e Internet Explorer (CVE-2018-8174, CVE-2018-4878 e CVE-2018-15982), e attacchi RDP. Vi sono stati comunque anche rari casi di impiego di diversi vettori. 

Sotto è possibile vedere una tipica nota di riscatto di Maze, lasciata in ogni cartella contenente file criptati

Se l'attacco ha successo e la vittima non risponde alle richieste di riscatto, gli attaccanti pubblicano i dati criptati e li mettono in vendita nel dark web. 

Le soluzioni di sicurezza di Quick Heal sono equipaggiate con tecnologie di individuazione multi livello come IDS/IPS, DNA Scan, Controllo Email, Sistema di individuazione comportamentale e funzionalità anti ransomware brevettata. Questo approccio multi livello ci aiuta a proteggere i nostri clienti dal ransomware Maze e da altre minacce, sconosciute e conosciute. 

Uno dei mezzi di diffusione più usati da Maze è quello delle email di phishing contenenti allegati in formati Microsoft Office, ma anche siti web fake / di phishing compromessi con gli exploit kit. Consigliamo quindi ai nostri utenti finali di prestare estrema attenzione nel gestire email provenienti da fonti sconosciute e email contenenti allegati MS Office (sopratutto nel caso in cui venisse richiesta l'abilitazione di una macro per poter correttamente visualizzare il documento allegato). 

Vi sono però alcune linee guida che riteniamo utili fornire perchè aiutano a ridurre al minimo la superficie di attacco, quindi i possibili danni all'infrastruttura IT. 

La maggior parte dei cyber incidenti avviene a causa di errori umani. E' importante formare i dipendenti perchè sappiano riconoscere queste potenziali minacce. Rispetto ai ransomware è utile concentrarsi sulle email di phishing e di spam, dato che sono vettori di attacco comunemente utilizzati. Un dipendente consapevole e ben formato può impedire un disastro annunciato. Impostare policy di segnalazione immediata non appena vengono riscontrare stranezze.