Ransomware Maze anuncia invasão nas redes da CPFL e outras empresas

Ransomware Maze anuncia invasão nas redes da CPFL e outras empresas.O grupo Maze Ransomware declarou explorações com sucesso de muitas organizações, entre elas a CPFL, e divulgou dados massivos em site público.

Os cibercriminosos que operam o ransomware Maze publicaram em seu site informações indicando que a rede da empresa de distribuição de energia CPFL, sediada em Campinas, SP, está comprometida desde maio deste ano. Para comprovar, os operadores do Maze liberaram uma amostra contendo 5% do material exfiltrado da empresa: são 604MB num arquivo comprimido em formato ZIP chamado ‘contratos.zip’.

Se os números estiverem corretos, isso significa que os cibercriminosos baixaram 12,08 GB de dados da distribuidora. O grupo apresentou também supostas provas de que invadiu a rede da LG Electronics na Coréia do Sul e de lá exfiltrou grande quantidade de dados. Nesse caso, o grupo exibiu apenas telas obtidas de um dos bancos de dados da companhia, indicando que foram baixados pouco mais de 4GB, representando 1% do total em poder do grupo. Portanto, o total baixado pode ser da ordem de 400GB.

Não é a primeira vez que uma empresa do setor de energia elétrica é atingido por ataques cibernético e ransomware. Sabe-se que isso já aconteceu na operação da Energisa em Mato Grosso do Sul, onde teria sido pago um resgate da ordem de R$ 3 milhões. Uma semana atrás houve incidente na rede de TI da Light. A empresa de energia elétrica EDP de Portugal  foi atacada por hacker que pediram 10 Milhões de euros de resgate.  Em 2017 a empresa de rede elétrica da Irlanda foi atacada por hacker russos.   

A estratégia atual dos cibercriminosos que operam o Maze e outras variedades de ransomware é ameaçar com a publicação dos dados para que a empresa pague o resgate. Como na Europa isso é considerado mais barato do que pagar as multas da GDPR, os cibercriminosos supõem que a ameaça tenha efeito – embora, é claro, nem sempre isso aconteça.

Maze

Os pesquisadores da CYFIRMA rastrearam o Maze já em junho do ano passado e, em 10 de junho, o grupo Maze divulgou uma longa lista de empresas que foram vítimas de seus ataques cibernéticos. As empresas afetadas abrangem os EUA e a América do Sul até os Emirados Árabes Unidos.

Os operadores de ransomware da Maze são conhecidos por lançar seu ataque sob a superfície e têm um histórico de primeiro roubar os dados antes de bloquear seus dispositivos de destino. Como cartel de extorsão, os operadores do Maze aproveitam o medo das organizações vítimas de danos à reputação, potencial processo judicial e outros impactos nos negócios para extrair o máximo de benefícios financeiros. As demandas comuns de ransomware geralmente estão na faixa de centenas a milhares de dólares (equivalente a bitcoin), mas com o Maze, o valor pode chegar a milhões.

O modus operandi dos hackers do Maze implicaria liberar ameaças de despejo de dados no fórum público se o resgate não for pago. Quando esses dados são disponibilizados, outros hackers e criminosos cibernéticos terão acesso aos dados confidenciais e continuarão suas explorações separadas, incluindo a revenda de dados roubados nos mercados da dark web.

Os operadores de labirinto têm como alvo várias grandes empresas de alto perfil e empresas vinculadas ao governo em diversos setores. Suas violações recentes incluem a Cognizant, uma potência global de serviços de TI com 290.000 funcionários e faturamento anual de quase US $ 17 bilhões em 2019, e a ST Engineering, uma empresa vinculada ao governo de Cingapura envolvida em projetos militares e de defesa.

Aqui está a lista mais recente de empresas que foram comprometidas pelos operadores do Maze e compartilhadas no site do Maze:

Domingos Martins – site do governo brasileiro que contém informações relacionadas ao município de Domingos Martins. Dados violados podem incluir informações dos cidadãos, como detalhes de contato, impostos, serviços de governo eletrônico prestados.

Daily Thermetrics –  Uma empresa dos EUA que fornece às indústrias de engenharia de processos instrumentos de medição de temperatura precisos.

John Christner Trucking –  Uma empresa familiar de caminhões com sede em Oklahoma.

FERSPED Inc. –  Uma empresa de transporte e expedição de mercadorias sediada na Macedônia.

Mead O’Brien, Inc. –  A empresa fornece válvulas e automação de válvulas, produtos e sistemas para vapor e água quente, produtos para instrumentação, projetos de skid, serviços de campo, pesquisas, avaliações e serviços de consultoria, e está sediada em Kansas City, EUA.

United Enertech –  Uma empresa de construção, construção e engenharia dos EUA com sede no Tennessee

Collabera –  Uma empresa de recrutamento, pesquisa e treinamento de RH localizada em Nova Jersey, EUA.

Munoz Engineering PC –  Fornece serviços de engenharia, agrimensura e construção civil, com sede em Nova York, EUA.

Grupo Ahmed Almazrouei –  Serviços de Engenharia e Design, Comércio Geral, Gerenciamento de Propriedades, Gerenciamento de Instalações, Óleo e Gás, Negócio de varejo educacional e de alimentos com sede em Abu Dhabi, Emirados Árabes Unidos.

Omnix Int’l –  Um provedor de análise de negócios, BPM, soluções de mobilidade, gerenciamento de informações, implementação de ERP e serviços de rede de TI para os setores público e privado, com sede em Dubai, Emirados Árabes Unidos.

Westmoreland Mechanical Testing and Research, Inc. –  Uma instalação de teste de materiais para as indústrias de fabricação aditiva, aeroespacial, automotiva, de compósitos e médica e de geração de energia, com sede na Pensilvânia, EUA.

CPFL Energia –  Uma grande empresa de energia com negócios em distribuição, geração, comercialização de energia elétrica e serviços, atendendo 9,6 milhões de clientes no Brasil.

 

Análise de Pesquisa da CYFIRMA

Os operadores de ransomware da Maze têm um histórico de primeiro roubar os dados antes de bloquear seus dispositivos de destino e exigir um resgate. Eles capitalizam as conseqüências reputacionais de seu alvo, pois sua estratégia é “roubar, bloquear e informar”. Os atores de ameaças suspeitas parecem ser o APT28 com base na Rússia (nível de confiança: moderado) e TA2101 / APT29 ((nível de confiança: moderado).

Os endereços IP <Detalhes Mascarados> mencionados no vetor de ataque Cognizant foram vistos explorando duas vulnerabilidades antigas CVE-2016-7255 e CVE-2018-8453. Ambas as Vulnerabilidades de Elevações de Privilégios do Win32k direcionadas ao servidor Windows foram exploradas pelo suspeito ator de ameaças APT28, patrocinado pelo Estado russo, no passado.

O grupo de agentes de ameaças APT28 utiliza TTPs, como arquivos ou informações ofuscados, PowerShell, exploração de serviços remotos para movimentação lateral, roubo de credenciais por meio de links de spear phishing e técnicas de simulação de dados. Esses TTPs semelhantes foram vistos no hack Cognizant devido ao ransomware Maze.

Os endereços IP mencionados, como <Detalhes Mascarados>, pertencem à origem russa, o que nos dá uma ideia de que grupos de atores de ameaças russos (possivelmente APT28) estão por trás do ataque.

Em linhas semelhantes, o grupo de agentes de ameaças TA2101 havia alavancado o Maze Ransomware direcionado a organizações alemãs, italianas e norte-americanas com e-mails maliciosos contendo amostras do Maze ransomware em novembro de 2019. O TA2101 tem usado ativamente o Maze ransomware para ataques.

Recomendações

O Maze Ransomware geralmente implanta e-mails de phishing com anexos do MS Office e sites falsos / phishing associados ao Exploit Kits. Os destinatários devem ser cautelosos ao manipular emails de fontes desconhecidas, fazer download de anexos ou clicar em links suspeitos, pois os operadores do Maze utilizam agressivamente as táticas de engenharia social.

Para fortalecer os controles de segurança, o software e os aplicativos devem conter o patch mais atualizado. Evite software pirateado e falsificado, pois eles podem estar ligados a malware.

O Maze tende a usar vulnerabilidades conhecidas como a Pulse VPN CVE-2019-11510 para invadir e isso significa que os funcionários que trabalham em casa devem estar atentos ao acessar informações confidenciais da empresa. Mais ações podem ser tomadas para proteger sua organização do ransomware Maze.

 

Fonte: CISO Advisor & CYFIRMA

 

Veja também:

About mindsecblog 1368 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Maze Ransomware Claims Attack on Xerox Corporation | Cyware Alerts - Virtualattacks
  2. Maze Ransomware Claims Attack on Xerox Corporation | Cyware Alerts | Computer Information System
  3. Maze Ransomware Claims Attack on Xerox Corporation - Virtualattacks
  4. Siber Magazin | Maze Ransomware'den Xerox'a Saldırı İddiaları

Deixe sua opinião!