Maze勒索软件正式加入披露数据的行列

Maze 勒索软件的开发者不断使用新的方法来勒索受害者，如果原来的方式不足够让你付赎金，那就换一种方法进行勒索。

始终有一部分受害者不会因为文件被加密而向攻击者付款。随着时间的推移，攻击者发明了新的方法勒索受害者，他们会保存重要文件的未加密副本或使用某种回滚技术将系统还原到攻击前的状态。

勒索软件在部署时会窃取相关数据，如果受害者不付款，攻击者就会威胁要公开数据。

Maze 开始泄露数据

2019 年最后一个季度，Maze 的开发者引入了这种新的勒索方式。而且，自从它引入这种方法以来，许多其他勒索软件也开始采用这种方式。除了 Maze 外，还包括 Clop 、Sodinokibi 和 DoppelPaymer。

第一位享此殊荣的是加利福尼亚的安全服务公司 Allied Universal。在拒绝为 Maze 支付赎金后， 公开了 Allied Universal 被窃的 700MB 数据 。如今，大多数勒索软件都提供这种网站，公开从受害者窃取的不愿意支付赎金的数据。

Maze 勒索软件特征

Maze 勒索软件是 ChaCha 的一种变种，最初是由 Malwarebytes 的威胁情报总监 JérômeSegura 在 2019 年 5 月发现的。自从 2019 年 12 月以来，该团伙持续活跃，几乎在各个领域都有大量的受害者，包括金融、科技、电信、医疗、政府、建筑、酒店、媒体、能源、制药、教育、保险和法律等行业。

Maze 的主要传播形式为：

垃圾邮件投递武器化的 Office 文件（Word 和 Excel 文件）

RDP 暴力破解

最初，Maze 是使用如 Fallout EK 和 Spelevo EK 之类的漏洞利用 工具 包通过网站进行传播，该工具包利用 Flash Player 漏洞。后续 Maze 勒索软件增加了利用 Pulse VPN 的漏洞 与 Windows VBScript Engine 远程代码执行漏洞 。

无论使用哪种方式获得立足点，Maze 后续都会尝试得到更高的权限，进行横向移动并在所有驱动器上加密文件。但是加密文件之前会额外提取这些文件，然后威胁受害者要曝光这部分文件。

Maze 使用 ChaCha20 和 RSA 两种算法加密文件，加密后，程序会在每个文件的末尾台南佳一个随机的 4-7 字符的字符串。恶意软件将所有文件加密完成后，会修改桌面壁纸。

此外，还会向受害者播放语音消息提醒他们文件已经被加密了。

IOC

Maze 在包含加密文件的每个文件夹中创建一个名为DECRYPT-FILES.txt的文件。也会跳过一些文件夹不加密：

%windir%
%programdata%

程序文件

%appdata%\local

也会跳过以下类型的文件：

dll
exe
lnk
sys

勒索信息DECRYPT-FILES.txt如下所示：

犯罪分析承诺，付款后就会将得到的数据删除，并且为你提供解密工具来还原本地所有文件。

相关样本哈希

19aaa6c900a5642941d4ebc309433e783befa4cccd1a5af8c86f6e257bf0a72e
6878f7bd90434ac5a76ac2208a5198ce1a60ae20e8505fc110bd8e42b3657d13
9ad15385f04a6d8dd58b4390e32d876070e339eee6b8da586852d7467514d1b1
b950db9229db2f37a7eb5368308de3aafcea0fd217c614daedb7f334292d801e

参考来源

MalwareBytes

*本文作者：Avenger，转载请注明来自 FreeBuf.COM