Kriminalna grupa koja stoji iza ransomwarea Maze navodno se povlači iz posla

Vesti, 30.10.2020, 09:30 AM

Iako je jedna od najistaknutijih grupa koje koriste ransomware u napadima, grupa Maze se navodno povlači iz posla.

Ransomware Maze se pojavio u maju prošle godine, ali je postao aktivniji tek u novembru. Tada je grupa promenila taktiku i počela da kontaktira novinare. Konkretno, u novembru prošle godine grupa je putem medija objavila da je ukrala podatke firme Allied Universal, a zatim aktivirala svoj ransomware u mreži firme. Grupa je tada zapretila da ukoliko Allied Universal ne bude platio otkupninu, da će objaviti njihove podatke, što se na kraju i dogodilo.

Ubrzo nakon toga, grupa Maze je pokrenula svoj veb sajt „Maze News“ koji je koristila za objavljivanje podataka žrtava koje nisu platile kao i za „saopštenja za javnost“ za novinare koji prate njihove aktivnosti.

Ovu taktiku dvostrukog iznuđivanja brzo su počeli da primenjuju i drugi veliki distributeri ransomwarea, uključujući REvil, Clop, DoppelPaymer, koji su napravili sopstvene sajtove za objavljivanje podataka. Dvostruka iznuda sada je postala standardna taktika koju koriste gotovo sve kriminalne grupe koje koriste ransomware.

Grupa Maze je nastavila da razvija svoj posao, pa je na kraju formiran ransomware kartel sa grupama Ragnar Locker i LockBit, da bi se delile informacije i taktike.

Tokom godinu i po dana koliko se bavila sajber-kriminalom, Maze je izvela napade na Southwire, grad Pensakola, gradove Lejk Siti i Rivijera Bič, Canon, LG Electronics, Xerox i mnoge druge.

Početkom prošlog meseca, pojavile su se glasine da se Maze sprema da izađe iz posla na sličan način kao što je to uradio GandCrab 2019.

Saradnici grupe Maze koji su koristili ransomware za šifrovanje fajlova žrtava čije je mreže hakovala grupa, delili su sa njom polovinu zarade.

Sada grupa kaže da su u septembru obustavili napade i da trenutno pokušavaju da izvuku novac od poslednjih žrtava.

Sa sajta grupe uklonjene su sve žrtve njihovih napada, a na sajtu su još dve žrtve i oni čiji su podaci objavljeni. To ukazuje da grupa zaista prestaje sa radom.

Neretko se dešava da ovakve kriminalne grupe objave ključeve za dešifrovanje kada prestanu sa radom, kao što je to učinjeno sa Crysis, TeslaCrypt i Shade ransomwareom. Za sada nema naznaka da će se to dogoditi u ovom slučaju.

Saradnici grupe su već prešli na novi ransomware, Egregor, koji se pojavio sredinom septembra baš kada je Maze prestao sa napadima. Egregor koristi isto obaveštenje o otkupu kao i Maze, sajt za plaćanje sličnog naziva a veruje se da imaju i sličan kod. Te sličnosti ne važe samo za Maze, već i za ransomware Sekhmet. Šta više, žrtve ransomwarea Egregor koje su platile otkupninu dobile su “Sekhmet Decryptor”.

Sve ovo može da znači da se grupa zapravo ne povlači iz ovog posla, već da samo kreću u pohod sa novim ransomwareom što ne bi bio jedinstveni slučaj. Nešto slično uradili su i programeri ransomware GandCrab koji su na sva zvona najavili povlačenje da bi se zatim pojavili sa novim malverom, ransomwareom REvil.