Maze, un nuevo ransomware que ajusta el rescate al tipo de dispositivo
- Endpoint
Haciéndolo pasar por un servicio de intercambio de criptomonedas online llamado Abra, los operadores de Maze han modificado el ransomware para conocer más detalles sobre sus víctimas. Las notas de rescate incluyen referencias al tipo de dispositivo que usa la víctima.
Los investigadores de seguridad han detectado una campaña que involucra al ransomware Maze, el cual basa el coste de recuperación de los datos robados en el tipo de dispositivo que está utilizando su víctima.
La campaña intenta atraer a posibles víctimas haciéndose pasar por un servicio de intercambio de criptomonedas online llamado Abra. Al parecer, los atacantes están comprando tráfico de las redes publicitarias para aumentar sus posibilidades de ser encontrados, y los que visitan el sitio web son atacados con el exploit kit Fallout después de ser redirigidos a una página de destino. Posteriormente, el ransomware Maze cifra los archivos y cambia las extensiones después de escanear el dispositivo.
Aunque los ciberatacantes tradicionalmente no discriminan en cuanto a los tipos de máquinas que infectan, los operadores de Maze han modificado el ransomware para conocer más detalles sobre sus víctimas. Un PC personal utilizado en el hogar, por ejemplo, puede ser menos valioso que una estación de trabajo o servidor operado por una gran organización.
El mensaje del atacante que aparece en el escritorio de la víctima indica que los archivos de la máquina se han cifrado y solicita al usuario que compre un descifrador para recuperar los datos comprometidos. Las notas de rescate incluyen referencias al tipo de dispositivo que usa la víctima, del tipo: "Sabemos que este ordenador es un ordenador doméstico, así que le daremos el precio adecuado para la recuperación". La nota de rescate se guarda como DECRYPT-FILES.html con una dirección de correo electrónico que termina con el dominio .africa.
El ransomware intenta conectarse con 15 sitios cuyas direcciones IP comienzan con un "92", aunque no está claro por qué. El cifrado se basa en las claves ChaCha y RSA. Para recuperar sus archivos, se les pide a las víctimas que usen una clave de descifrado privada para enviar detalles como su nombre, la versión de Windows y el ID del ordenador a los atacantes. Los profesionales de la seguridad no ceder a las demandas de los atacantes y, en su lugar, recomiendan establecer una estrategia de backup sólida para aislar la máquina comprometida y proteger otras partes de la red de riesgos innecesarios.