# Operation Maze 2019-2020 > [!high] O grupo Maze pioneirizou a dupla extorsão em ransomware - combinar criptografia com exfiltração e ameaça de públicação transformou permanentemente o modelo de negócio do ransomware > O Maze Ransomware (TA2101) foi o primeiro grupo a institucionalizar a dupla extorsão como modelo de negócio de ransomware, introduzindo em novembro de 2019 o que se tornaria o padrão da indústria: exfiltrar dados antes de criptografar, criar site de vazamento dedicado, e ameaçar públicar os dados caso o resgate não seja pago. Ativo de maio de 2019 a novembro de 2020, comprometeu centenas de organizações e criou o template que grupos como LockBit, REvil e Conti seguiriam. ## Visão Geral O Maze Ransomware representa um ponto de inflexão na história do cibercrime. Antes do Maze, o modelo de ransomware era simples: criptografar dados e exigir pagamento para descriptografar. Organizações com backups confiáveis podiam se recusar a pagar. Em novembro de 2019, ao comprometer a Allied Universal (empresa de segurança física dos EUA), o Maze introduziu algo novo: públicou 700MB de arquivos roubados como prova de exfiltração, ameaçando públicar os 5GB restantes caso o resgate não fosse pago. Esta foi a primeira vez que um grupo de ransomware usou dados exfiltrados como alavanca adicional de coerção - tornando os backups insuficientes como defesa. Mesmo organizações que conseguiam restaurar sistemas via backup enfrentavam a ameaça de exposição de dados sensíveis de clientes, propriedade intelectual e informações estratégicas. O modelo transformou a análise custo-benefício de pagar o resgate. O TA2101, grupo por trás do Maze, operou com estrutura profissional: recrutou afiliados, manteve site de negociação dedicado por vítima, públicou "press releases" anunciando novos comprometimentos, e chegou a criar uma espécie de "cartel" com outros grupos de ransomware (Ragnar Locker e LockBit) em 2020 - compartilhando infraestrutura e clientes. Esta colaboração entre grupos competidores foi inédita no ecosistema de ransomware. Em novembro de 2020, o Maze anunciou o encerramento das operações através de comúnicado público - também uma prática inédita. Analistas atribuem a decisão a pressão de aplicação da lei após comprometimento de hospitais durante a pandemia de COVID-19. Membros do Maze migraram para as operações [[egregor-ransomware|Egregor]] e Sekhmet, carregando o modelo de dupla extorsão que hoje é padrão universal no ransomware moderno. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Phishing ou RDP exposto<br/>vulnerabilidades em VPN"] --> B["Estabelecimento de Acesso<br/>Cobalt Strike Beacon<br/>movimento lateral via RDP"] B --> C["Reconhecimento<br/>Mapeamento de shares<br/>identificação de dados valiosos"] C --> D["Exfiltração<br/>Dados copiados para infraestrutura<br/>Maze antes da criptografia"] D --> E["Criptografia<br/>Maze ransomware implantado<br/>via GPO em toda a rede"] E --> F["Dupla Extorsão<br/>Resgate por descriptografia<br/>E por não publicar os dados"] ``` > **Ator:** TA2101 | **Malware:** Maze Ransomware | **Inovação:** Primeiro grupo a institucionalizar dupla extorsão como modelo de negócio ## Cronologia ```mermaid timeline title Operation Maze - Linha do Tempo 2019-05 : Maze identificado - primeiros ataques sem componente de exfiltração 2019-11 : Allied Universal - primeira dupla extorsão documentada publicamente 2019-12 : Maze cria site dedicado de vazamento - modelo publicado na internet 2020-01 : Maze atinge Cognizant e outras grandes empresas de tecnologia 2020-06 : Cartel Maze formado - parceria com Ragnar Locker e LockBit 2020-09 : Universal Health Services comprometida - impacto em hospitais nos EUA 2020-10 : Hundredth vítima publicada no site de vazamento 2020-11 : Maze anuncia encerramento - membros migram para Egregor e Sekhmet ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos e emails de phishing como vetor inicial | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais obtidas via phishing para acesso a RDP e VPN | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Movimento lateral extenso via RDP antes de implantar ransomware | | Transfer Data to Cloud Account | [[t1537-transfer-data-to-cloud-account\|T1537]] | Exfiltração de dados para infraestrutura controlada pelo TA2101 | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Maze ransomware criptografando toda a rede após exfiltração | | File Deletion | [[t1070-file-deletion\|T1070]] | Remoção de artefatos e logs para dificultar análise forense | ## Vítimas e Impacto **Vítimas notáveis:** - **Allied Universal** (nov 2019) - primeira vítima de dupla extorsão pública - empresa de segurança física - **Cognizant** (abr 2020) - gigante de TI com impacto em clientes globais estimado em US$ 50-70 milhões - **Universal Health Services** (set 2020) - 400 hospitais nos EUA afetados durante pandemia - **Xerox, LG Electronics, Maze of other Fortune 500 companies** **Legado e impacto no setor:** - Modelo de dupla extorsão adotado por 100% dos grupos de ransomware subsequentes - Site de vazamento como instrumento de pressão tornou-se padrão universal - "Cartel" de ransomware demonstrou que grupos competidores podem colaborar estratégicamente - Encerramento "ordeiro" com comúnicado público tornou-se prática de gestão de reputação criminal ## Relevância LATAM e Brasil O Maze não teve impacto operacional direto documentado no Brasil, mas seu legado é fundacional para entender o ambiente de ransomware atual: - **Modelo copiado por grupos ativos no Brasil**: o [[lockbit-ransomware-group|LockBit]], grupo mais ativo no Brasil, usa exatamente o modelo de dupla extorsão pioneirizado pelo Maze - site de vazamento, exfiltração antes de criptografia, negociação por vítima - **Precedente regulatório via LGPD**: a dupla extorsão transforma incidentes de ransomware em violações de dados sob a [[lgpd|LGPD]] - o modelo Maze criou a obrigação de notificação à [[anpd|ANPD]] em casos de ransomware que antes poderiam ser tratados como simples interrupção operacional - **Healthcare como alvo**: a decisão do Maze de atingir hospitais durante a pandemia catalisou regulação de cibersegurança para o setor de saúde - relevante para o contexto brasileiro onde hospitais públicos e privados são alvos frequentes de variantes derivadas ## Mitigação **Controles técnicos:** - Implementar backup offline e imutável - mas reconhecer que backups não eliminam o risco de dupla extorsão - Bloquear RDP exposto à internet - use VPN com MFA como gateway obrigatório - Monitorar exfiltração de dados antes do ransomware ser ativado - anomalias de volume de transferência são o sinal mais precoce **Controles estratégicos:** - Aplicar [[m1032-multi-factor-authentication|M1032]] - MFA em RDP, VPN e todos os serviços de acesso remoto - Implementar [[m1030-network-segmentation|M1030]] - segmentação limita o alcance do movimento lateral e da criptografia - Monitorar via [[ds-0029-network-traffic|DS-0029]] - transferências de dados anômalas para destinos externos antes de qualquer incidente visível ## Referências - [1](https://www.bleepingcomputer.com/news/security/maze-ransomware-is-shutting-down-its-cybercrime-operation/) BleepingComputer - Maze Ransomware is Shutting Down (2020) - [2](https://www.bleepingcomputer.com/news/security/maze-ransomware-is-forcing-victims-to-pay-by-releasing-stolen-files/) BleepingComputer - Maze Ransomware Forcing Victims to Pay (2019) - [3](https://unit42.paloaltonetworks.com/maze-ransomware/) Unit 42 - Maze Ransomware Technical Analysis (2020) - [4](https://www.mandiant.com/resources/blog/tactics-techniques-procedures-associated-with-maze-ransomware-incidents) Mandiant - TTPs Associated with Maze Ransomware Incidents (2020) - [5](https://www.crowdstrike.com/blog/the-maze-ransomware-cartel/) CrowdStrike - The Maze Ransomware Cartel (2020)