maze-ransomware - RunkIntel

# Maze Ransomware > [!high] Pioneiro da Dupla Extorsão em Ransomware > Maze foi um ransomware operado pelo grupo **TA2101** (Twisted Spider) de maio de 2019 a novembro de 2020, sendo o **pioneiro da técnica de dupla extorsão**: exfiltrar dados antes de criptografar e ameaçar públicar no site de vazamentos. Esta inovação transformou permanentemente o modelo operacional do ransomware, sendo copiada por dezenas de grupos posteriores, incluindo [[lockbit-ransomware]], [[conti-ransomware]] e [[blackcat-ransomware]]. ## Visão Geral Maze surgiu em maio de 2019 como "ChaCha ransomware" (nome derivado do algoritmo de criptografia usado), mas ganhou notoriedade sob o nome Maze a partir do segundo semestre de 2019. O grupo por trás, rastreado como TA2101 ou Twisted Spider, demonstrou sofisticação operacional incomum para a época: ao invés de distribuição em massa via spam, Maze era distribuído de forma cirúrgica, focando em grandes organizações com capacidade de pagar resgates milionários. A inovação mais impactante do Maze foi a criação do modelo de dupla extorsão em novembro de 2019. Antes do Maze, ransomware destruía ou bloqueava dados - a única pressão era a criptografia. O Maze introduziu o site de vazamentos "Maze News", onde públicava progressivamente amostras dos dados roubados das vítimas que se recusavam a pagar. Isso criou uma segunda camada de coerção com implicações de compliance e reputação muito maiores. O grupo operou um modelo de cartel: parceiros como [[lockbit-ransomware]], RagnarLocker e Egregor utilizaram a infraestrutura do Maze (incluindo o site de vazamentos) para públicar dados de suas próprias vítimas. Isso foi a primeira instância documentada de colaboração entre grupos de ransomware, prefigurando o ecossistema RaaS moderno. O Maze encerrou operações formalmente em novembro de 2020, alegando que "o projeto foi finalizado". O código e operadores do Maze deram origem ao Egregor e possívelmente ao Sekhmet, demonstrando como grupos de ransomware evoluem e se transformam em vez de simplesmente desaparecer. ## Como Funciona **Acesso inicial (pós-compromisso):** 1. Spam phishing inicial com documentos Word maliciosos (macros) ou attachments 2. Exploit kits para acesso em organizações com sistemas desatualizados 3. Parceria com grupos como [[fin6]] para acesso a redes já comprometidas via Cobalt Strike 4. Compra de credenciais RDP em mercados underground para acesso direto **Reconhecimento e movimento lateral:** 1. [[cobalt-strike|Cobalt Strike]] para pós-exploração e movimento lateral 2. [[mimikatz|Mimikatz]] para extração de credenciais do Active Directory 3. PsExec para execução remota em múltiplos hosts da rede 4. Identificação de repositórios de dados sensíveis (compartilhamentos, bancos de dados) **Exfiltração antes da criptografia:** - Dados transferidos via FTP ou WinSCP antes da ativação do ransomware - Exfiltração do repositório de dados para infraestrutura controlada pelo atacante - Seleção criteriosa de dados com maior valor de barganha (PII, financeiros, legais) **Criptografia:** - Algoritmo ChaCha20 para criptografia de arquivos (rápido e resistente) - RSA-2048 para proteção da chave de sessão - Execução multithreaded para máxima velocidade de criptografia - Exclusão de shadow copies via WMI e PowerShell ## Attack Flow ```mermaid graph TB A["Spear Phishing Documento Word com macro maliciosa"] --> B["Cobalt Strike Pos-exploração e movimento lateral"] B --> C["Mimikatz Extração de credenciais AD"] C --> D["Reconhecimento Mapeamento de dados valiosos"] D --> E["Exfiltração FTP Dados sensiveis antes da cifragem"] E --> F["ChaCha20 Cifragem Multithreaded toda a rede"] F --> G["Maze News Site de vazamentos publicacao progressiva"] G --> H["Dupla Extorsao Pagar ou ter dados publicados online"] ``` **Legenda:** [[ta2101]] · [[fin6]] · [[cobalt-strike]] · [[mimikatz]] · [[lockbit-ransomware]] · [[conti-ransomware]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] ## Timeline ```mermaid timeline title Maze Ransomware - Linha do Tempo 2019-05 : Maze identificado : Distribuição via spam : Nome "ChaCha Ransomware" 2019-11 : Dupla extorsao inaugurada : Site Maze News lancado : Cognizant (TI) atacado 2020 : Cartel formado : Lockbit e RagnarLocker : Compartilham infraestrutura 2020-06 : Ataque Conduent : $7 milhoes de resgate : Dados publicados parcialmente 2020-10 : Vazamentos massivos : Empresas recusam pagamento : Publicacao de dados confidenciais 2020-11 : Encerramento anunciado : "Projeto finalizado" : Código migra para Egregor 2021 : Heranca : Egregor / Sekhmet surgem : Modelo dupla extorsao dominante ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | ChaCha20 para criptografia rápida multithreaded | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies via WMI e PowerShell | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Word com macros para acesso inicial | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploit kits para sistemas desatualizados | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts de pós-exploração e limpeza de backups | | Exfiltration over Alternative Protocol | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | FTP/WinSCP para exfiltrar dados antes da criptografia | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais AD comprometidas para movimento lateral | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 do Cobalt Strike via HTTP/HTTPS | ## Relevância para o Brasil e LATAM > [!latam] Maze Criou o Modelo que Domina o Brasil Hoje > O modelo de **dupla extorsão** inaugurado pelo Maze em 2019 é hoje padrão universal para todos os grupos que atacam o Brasil — **LockBit**, **BlackCat**, **Conti** e **RansomHub** são herdeiros diretos. Empresas brasileiras enfrentam a ameaça de exfiltração + criptografia como norma, com exposição dupla pela **LGPD** quando dados são públicados em sites de vazamento. Embora o Maze tenha encerrado em 2020, seu legado é central para entender o ransomware moderno na LATAM: **Herança operacional:** - O modelo de dupla extorsão criado pelo Maze é hoje padrão para todos os grupos ativos no Brasil - [[lockbit-ransomware]], [[blackcat-ransomware]], [[conti-ransomware]] e [[ransomhub]] - todos usam o modelo inaugurado pelo Maze - Empresas brasileiras enfrenta hoje a ameaça de dupla extorsão como norma, não exceção **Vítimas do Maze na LATAM:** - Empresas de construção civil, manufacturing e serviços na América Latina foram listadas no site Maze News - O padrão de vitimizar grandes corporações sem discriminação geográfica criou precedente direto para grupos que hoje atacam o Brasil **Impacto regulatório:** - A LGPD, em vigor desde 2020, torna a públicação de dados de brasileiros em sites de ransomware uma violação regulatória com notificação obrigatória à [[anpd|ANPD]] - O modelo Maze demonstrou que backups isolados são necessários mas insuficientes contra a ameaça moderna de exfiltração + criptografia ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Maze Ransomware (TLP:GREEN) > **Artefatos no host:** > Arquivo DECRYPT-FILES.html ou MAZE-README.txt em diretórios > Extensão aleatória adicionada a arquivos cifrados > Presença de Cobalt Strike beacons (verificar hashes em VirusTotal) > > **Comportamento suspeito:** > WMI criando processo vssadmin ou bcdedit > PsExec executando em múltiplos hosts com admin shares > Conexão FTP de saída de sistemas de servidor com grandes volumes > > **Fonte:** Sophos · Crowdstrike · FireEye Mandiant **Mitigações recomendadas:** - Implementar [[m1057-data-backup|M1057]] com backups offline imutáveis - e testar regularmente a recuperação - Monitorar e bloquear exfiltração via [[m1030-network-segmentation|M1030]] e inspeção profunda de pacotes - Aplicar [[m1049-antivirus|M1049]] com detecção comportamental para Cobalt Strike - Usar [[m1026-privileged-account-management|M1026]] para limitar propagação lateral via credenciais AD - Monitorar via [[ds0028-logon-session|DS0028]] acessos anômalos a compartilhamentos de rede ## Referências - [1](https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/maze-ransomware-report.pdf) Sophos - Maze Ransomware: Extortion Paradigm (2020) - [2](https://www.crowdstrike.com/blog/maze-ransomware-deconstructed/) CrowdStrike - Maze Ransomware Deconstructed (2020) - [3](https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html) Mandiant/FireEye - TTPs Associated with Maze Ransomware (2020) - [4](https://attack.mitre.org/software/S0449/) MITRE ATT&CK - Maze S0449 (2021) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.maze) Malpedia - Maze Entry - [6](https://www.bleepingcomputer.com/news/security/maze-ransomware-is-shutting-down-its-cybercrime-operation/) BleepingComputer - Maze Ransomware Shutting Down (2020)