maze - RunkIntel

# Maze > Tipo: **malware (ransomware)** - Dupla Extorsao - S0449 - [MITRE ATT&CK](https://attack.mitre.org/software/S0449) > [!danger] Pioneiro da Dupla Extorsao - Legado que moldou o ransomware moderno > O Maze foi o primeiro ransomware de alto perfil a sistematizar a dupla extorsao: roubar dados ANTES de cifrar e ameaçar pública-los se o resgaté nao for pago. Esse modelo tornou-se padrao para práticamente todos os grupos de ransomware que surgiram após 2020. Em outubro de 2020, o grupo anunciou o encerramento das operações. ## Visão Geral [[s0449-maze|Maze]] e um ransomware ativo desde pelo menos maio de 2019, originalmente identificado como variante do ChaCha ransomware. O grupo por tras do Maze foi pioneiro na introdução sistematica da dupla extorsao no ecossistema de ransomware: antes de cifrar os arquivos da vitima, os operadores exfiltram dados sensiveis e públicam amostras em seu site "Maze News" (maze.top) como prova de comprometimento, cobrando uma segunda taxa pela nao-públicacao dos dados restantes. Mesmo que a vitima pague ambas as taxas, o grupo pode ainda assim vender os dados no mercado negro. O [[s0449-maze|Maze]] opera como um consorcio de múltiplos grupos afiliados com TTPs distintos - o [[g0037-fin6|FIN6]] e o TA2101 sao os grupos mais documentados como operadores. O Mandiant rastreou tres clusters distintos de atividade operando o Maze com táticas iniciais diferentes, tornando a atribuicao e defesa mais complexas. O grupo também formou parcerias públicas com outros grupos: anunciou colaboracoes com o [[s0481-ragnar-locker|Ragnar Locker]] e o Lockbit 2.0, chegando a hospedar vitimas desses grupos em seu proprio site de vazamentos. O Maze foi inicialmente distribuido via exploit kits (Spelevo, Fallout) e campanhas de phishing/spam. A partir do final de 2019, migrou para o modelo de implantação pos-comprometimento, onde o ransomware e o ultimo estagio de uma intrusion de semanas ou meses utilizando Cobalt Strike, IcedID e ferramentas legitimas para movimentação lateral. **Plataformas:** Windows ## Como Funciona Os operadores do Maze utilizam uma combinacao de vetores de acesso inicial dependendo do grupo afiliado: campanhas de malspam com documentos Office maliciosos, comprometimento de RDP com credenciais fracas ou roubadas, e exploração de vulnerabilidades em dispositivos expostos como Pulse VPN ([[cve-2019-11510|CVE-2019-11510]]) e Internet Explorer ([[cve-2018-8174|CVE-2018-8174]]). **Fase pos-comprometimento:** Após o acesso inicial, o Cobalt Strike Beacon e implantado para movimentação lateral e reconhecimento. O grupo realiza mapeamento do Active Directory com ferramentas como AdFind, coleta credenciais com Mimikatz, e identifica volumes de dados de maior valor antes da exfiltração. **Exfiltração:** Dados sao arquivados com 7zip e transferidos para servidores FTP controlados pelos atacantes usando WinSCP. Isso precede a criptografia e serve como alavanca de extorsao adicional. **Criptografia:** O Maze utiliza ChaCha para cifrar arquivos com extensao aleatoria de 4-7 caracteres. O MBR pode ser sobrescrito. A nota de ransom `decrypt-files.txt` e depositada em cada diretorio. O painel do Maze permite ao operador definir data de duplicacao do resgaté para criar urgencia. **Técnica anti-análise:** O Maze implementa hooks nas funções `DbgUiRemoteBreakin` e `NtProtectVirtualMemory` para dificultar análise em debugger. Também chama `IsDebuggerPresent` para evitar execução em ambientes de análise. ## Attack Flow ```mermaid graph TB A["🎣 Acesso Inicial Malspam / Exploit Kit / RDP CVE-2019-11510 Pulse VPN"] --> B["🔗 Implantação C2 Cobalt Strike Beacon IcedID como loader intermediario"] B --> C["🔍 Reconhecimento Extenso AdFind - Active Directory T1082 System Discovery"] C --> D["📤 Exfiltração Pre-Cifragem 7zip + WinSCP para FTP atacante T1048 Exfiltration"] D --> E["🛑 Preparação para Criptografia Mimikatz + desativacao AV T1562.001 Disable Tools"] E --> F["🔑 Criptografia ChaCha Extensao aleatoria 4-7 chars T1486 Data Encrypted"] F --> G["💰 Dupla Extorsao Pagar resgaté E nao-publicacao Site maze.top / Maze News"] classDef access fill:#c0392b,color:#fff classDef c2 fill:#e67e22,color:#fff classDef recon fill:#f39c12,color:#fff classDef exfil fill:#8e44ad,color:#fff classDef prep fill:#2980b9,color:#fff classDef encrypt fill:#1a5276,color:#fff classDef impact fill:#1e3a5f,color:#fff class A access class B c2 class C recon class D exfil class E prep class F encrypt class G impact ``` ## Timeline ```mermaid timeline title Maze - Linha do Tempo 2019-05 : Primeiras amostras - variante do ChaCha ransomware 2019-11 : Primeiros ataques pos-comprometimento documentados 2019-11 : Allied Universal - 7GB exfiltrados, US$2.3M resgaté 2020-01 : Southwire - 120GB exfiltrados, 878 dispositivos cifrados 2020-04 : Cognizant - custo estimado US$50-70M 2020-06 : Parceria anunciada com Ragnar Locker 2020-07 : Parceria com LockBit 2.0 anunciada 2020-10 : Grupo anuncia encerramento das operacoes 2020-11 : Código e técnicas migradas para Egregor ransomware ``` ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - CVE-2019-11510, CVE-2018-8174 - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - comprometimento de credenciais - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - documentos Office maliciosos - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1048-003-exfiltration-over-unencrypted-protocol|T1048.003 - Exfiltration FTP via WinSCP]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - ChaCha encryption - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] ## Grupos que Usam - [[g0037-fin6|FIN6]] - operador documentado, historial em ataques financeiros e varejo - TA2101 - grupo afiliado documentado pelo Mandiant - Multiplos grupos afiliados com TTPs distintos (modelo de consorcio) ## Detecção > [!warning] Exfiltração como Precursora > A detecção do Maze deve focar na fase de exfiltração pre-cifragem. O uso anomalo de WinSCP ou 7zip para arquivar e transferir volumes incomuns de dados para IPs externos e o indicador mais critico a monitorar - detectado antes da cifragem, o ataque pode ser contido sem perda de dados. **Indicadores comportamentais:** - Uso de WinSCP para transferencia FTP de grandes volumes de dados para IPs externos nao usuais - Processo `7z.exe` criando arquivos zip em diretorios de staging antes de transferencia - Cobalt Strike Beacon commúnicando com dominios de C2 (certificado SSL padrao do CS) - Criação de notas `decrypt-files.txt` em múltiplos diretorios simultaneamente - Sobrescrita do MBR (setor 512 bytes) - indicador tardio critico - Detecção via assinaturas: hooking de `DbgUiRemoteBreakin` como técnica anti-debug **Sigma recomendado:** - `proc_creation_win_winscp_exfiltration.yml` - `proc_creation_win_7zip_creation_arc.yml` - `net_connection_win_cobalt_strike_ssl.yml` ## Relevância LATAM/Brasil O [[s0449-maze|Maze]] influenciou diretamente o ecossistema de ransomware no Brasil e LATAM através de dois caminhos: primeiro, o grupo afiliado [[g0037-fin6|FIN6]] tem historico de ataques contra redes varejistas e de pagamento na América Latina; segundo, o código e as técnicas do Maze foram a base para o [[s0554-egregor|Egregor]] ransomware, que atacou o gigante varejista Cencosud (Chile/Brasil) em novembro de 2020. A métodologia de dupla extorsao pioneirada pelo Maze tornou-se padrao para grupos como [[lockbit|LockBit]], [[blackcat|BlackCat]] e [[black-basta|Black Basta]], que sao responsaveis por grande parte dos ataques no Brasil em 2022-2024. O consorcio público com o [[s0481-ragnar-locker|Ragnar Locker]] demonstra a colaboracao entre grupos que afetam a regiao. ## Referências - [MITRE ATT&CK - S0449](https://attack.mitre.org/software/S0449) - [Mandiant - Navigating the MAZE: TTPs](https://cloud.google.com/blog/topics/threat-intelligence/tactics-techniques-procedures-associated-with-maze-ransomware-incidents) - [Unit 42 - Maze Ransomware Threat Brief](https://unit42.paloaltonetworks.com/threat-brief-maze-ransomware-activities/) - [HHS - Maze Ransomware Report](https://www.hhs.gov/sites/default/files/maze-ransomware.pdf) - [Cyberint - Cognizant Maze Attack](https://e.cyberint.com/hubfs/Cognizant%20Hit%20by%20MAZE%20Ransomware-%20Report/Cyberint-Cognizant%20Hit%20by%20MAZE%20Ransomware-Report.pdf)