El grupo Maze es uno de esos grupos cibercriminales de ransomware dirigido que se están adaptando a los nuevos tiempos. Las recomendaciones de la comunidad de ciberseguridad y la incertidumbre en algunos casos de recuperar la información con el pago de rescates obliga a los grupos a buscar nuevas técnicas de presión con el fin de conseguir su recompensa. Los operadores de Maze en este caso, antes de desplegar el ransomware, roban información de la víctima que consideran importante y amenazan con publicarla si no reciben el rescate en una determinada ventana de tiempo. Para tal cometido publican la página web http://mazenews[.]top o su espejo http://newsmaze[.]top donde se puede hacer seguimiento de las víctimas.
Casi todas las empresas del sector a estas alturas ya han escrito acerca de los detalles del grupo y el malware. Por ejemplo FireEye publicaba esta semana pasada otro informe sobre el grupo.
Lo interesante en este caso fue ver cómo el pasado 18 de Abril publicaban más de 10GB de información en dos archivos comprimidos de la empresa Subarna, una casa de subastas con bastante historia de Barcelona. Una de las primeras actividades que podemos ver en España de este grupo que ya había cogido mucha notoriedad en EEUU y la India con el compromiso de la tecnológica Cognizant.
En este caso la fuga de información recoge prácticamente toda la actividad interna de la empresa. Facturas y movimientos bancarios, cientos de documentos de identidad y pasaportes de clientes, decenas de CVs de candidatos, información sobre pujas, etc. No obstante la página web de la empresa continúa en línea ajena al incidente y desarrollando su actividad con normalidad.
Maze ataca a Subarna
Un grupo a tener en cuenta para seguir su evolución durante este 2020.