# Maze > [!high] Pioneiro da dupla extorsão - o modelo que redefiniu o ransomware globalmente e influencia ataques no Brasil até hoje > Ativo de maio de 2019 a novembro de 2020, o Maze sistematizou o roubo de dados antes da criptografia e criou o primeiro "cartel" de ransomware com partilha de infraestrutura entre grupos. ## Visão Geral [[s0449-maze|Maze]], anteriormente chamado de ChaCha, foi descoberto em maio de 2019 e rapidamente se tornou um dos ransomware mais impactantes da história não por seu sofismo técnico, mas por uma inovação operacional fundamental: a **dupla extorsão**. Antes do Maze, grupos de ransomware simplesmente criptografavam dados e exigiam pagamento pela chave de descriptografia. O Maze introduziu a prática de exfiltrar dados sensíveis antes da criptografia e ameaçar sua públicação em um site dedicado ("Maze News") caso o resgaté não fosse pago. Esta inovação transformou cada incidente de ransomware em um vazamento de dados potencial. Operado pelo grupo identificado como TA2101 pela Proofpoint (e com participação do [[g0037-fin6|FIN6]] como afiliado operacional), o Maze atingiu alvos de alto perfil incluindo Cognizant, Conduent, Canon, LG Electronics e o governo da cidade de Pensacola (Flórida). A sofisticação das operações - com campanhas de spear-phishing direcionadas, uso de [[s0154-cobalt-strike|Cobalt Strike]] para movimento lateral e semanas de reconhecimento antes da criptografia - indicava um grupo altamente profissionalizado. O "Maze Cartel" representou outra inovação: em meados de 2020, o Maze anunciou colaboração formal com outros grupos de ransomware (LockBit, RagnarLocker) compartilhando infraestrutura de vazamento de dados. Este modelo de cartel gerou o ecossistema atual de Ransomware-as-a-Service (RaaS), onde diferentes grupos compartilham afiliados e capacidades. O encerramento das operações em novembro de 2020 coincidiu com a ascensão do Egregor, ransomware com base de código claramente relacionada ao Maze. A herança do Maze é imensa: a dupla extorsão é hoje o padrão universal em ataques de ransomware, incluindo todos os grupos que afetam o Brasil como [[lockbit|LockBit]], BlackCat/ALPHV e RansomHub. Entender o Maze é entender a genese do modelo de ameaça dominante atual. **Plataformas:** Windows ## Como Funciona O Maze usava criptografia híbrida RSA-2048 para proteger a chave de sessão ChaCha20 usada na criptografia dos arquivos. Antes de criptografar, o malware executa descoberta extensiva de rede ([[t1049-system-network-connections-discovery|T1049]]), verifica o idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para excluir países da ex-URSS (padrão de grupos russos), e exfiltra documentos sensíveis via FTP ou PowerShell para servidores controlados pelo operador. A execução dentro de máquinas virtuais ([[t1564-006-run-virtual-instance|T1564.006]]) em certas configurações era usada para evasão de sandbox. O Maze empregava inserção de código lixo ([[t1027-016-junk-code-insertion|T1027.016]]) para gerar variantes com assinaturas diferentes e dificultava análise de engenharia reversa. Após criptografia, o sistema era desligado ([[t1529-system-shutdownreboot|T1529]]) e uma nota de resgaté (`DECRYPT-FILES.html`) era depositada em múltiplos diretórios. ## Attack Flow Maze ```mermaid graph TB A["Acesso Inicial<br/>Phishing / RDP Bruteforce<br/>T1566 / T1110"] --> B["Movimento Lateral<br/>Cobalt Strike Beacon<br/>Semanas de reconhecimento"] B --> C["Exfiltração pre-cripto<br/>FTP / PowerShell<br/>Dados sensiveis copiados"] C --> D["Preparação<br/>Dropar Maze<br/>Persistência via Registry"] D --> E["Verificação de idioma<br/>Exclui ex-URSS<br/>T1614.001"] E --> F["Criptografia RSA+ChaCha20<br/>T1486 - Data Encrypted<br/>Nota de resgaté depositada"] F --> G["Dupla Extorsao<br/>Site Maze News<br/>Publicacao de dados"] classDef initial fill:#dc2626,color:#fff classDef lateral fill:#ea580c,color:#fff classDef exfil fill:#ca8a04,color:#000 classDef prep fill:#3b82f6,color:#fff classDef check fill:#7c3aed,color:#fff classDef crypto fill:#0891b2,color:#fff classDef extort fill:#16a34a,color:#fff class A initial class B lateral class C exfil class D prep class E check class F crypto class G extort ``` ## Linha do Tempo ```timeline Maio 2019 : Maze descoberto como ChaCha : Primeiras vitimas documentadas Novembro 2019 : Ataque a cidade de Pensacola FL : Primeiro ataque municipal confirmado Dezembro 2019 : Lanca site de vazamento publico : Dupla extorsao torna-se estratégia Marco 2020 : Atinge Cognizant : 70M USD em custos documentados Junho 2020 : Maze Cartel anunciado : Parceria com LockBit e RagnarLocker Setembro 2020 : Canon e LG Electronics comprometidas : Dados publicados no site Maze News Novembro 2020 : Encerramento das operacoes : Egregor herda base de código 2021 em diante : Modelo dupla extorsao universalizado : Influencia todos os RaaS atuais ``` ## TTPs - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1027-016-junk-code-insertion|T1027.016 - Junk Code Insertion]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1564-006-run-virtual-instance|T1564.006 - Run Virtual Instance]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - [[t1106-native-api|T1106 - Native API]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] ## Grupos que Usam - [[g0037-fin6|FIN6]] - [[g0046-fin7|FIN7]] ## Relevância LATAM/Brasil Embora o Maze tenha encerrado operações em 2020, seu impacto no Brasil é permanente: a dupla extorsão pioneirizada pelo Maze é hoje o método padrão de todos os grupos de ransomware que afetam organizações brasileiras. Grupos como [[lockbit|LockBit]], BlackCat/ALPHV e RansomHub - que somam centenas de vítimas brasileiras documentadas - todos operam com o modelo de site de vazamento introduzido pelo Maze. A verificação de idioma do sistema (exclusão de países da ex-URSS) não se aplica ao Brasil, o que significa que organizações brasileiras são alvos elegíveis para todos os derivados do Maze e grupos que adotaram seu modelo. O setor financeiro e de serviços, com dados sensíveis de clientes e alto poder de pagamento, é o principal alvo no Brasil. Estudar o Maze é estudar o modelo de ameaça que afeta o ecossistema brasileiro de segurança hoje. ## Detecção - **Criação de arquivos em massa** - Monitorar criação massiva de arquivos com extensão `.maze` e notas de resgaté (`DECRYPT-FILES.html`) em múltiplos diretórios - indicador de criptografia em progresso - **Execução em VM** - Detectar execução de processos em contexto de máquina virtual (QEMU, VirtualBox) criados por processos do sistema não esperados ([[t1564-006-run-virtual-instance|T1564.006]]) - **Exfiltração pré-criptografia** - Alertar para uploads de dados em grande volume para infraestrutura externa via FTP ou PowerShell antes da criptografia ```sigma title: Maze Ransomware Pre-Encryption Data Staging status: stable logsource: category: network_connection product: windows detection: selection: Initiated: 'true' DestinationPort: - 21 - 443 - 80 filter: Image|contains: - '\Program Files' - '\Windows' timeframe: 5m condition: selection | count() > 100 falsepositives: - Backup software performing large uploads level: high tags: - attack.exfiltration - attack.t1486 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0449) MITRE ATT&CK - S0449 Maze (2024) - [2](https://www.mandiant.com/resources/blog/navigating-maze-ransomware) Mandiant - Navigating the MAZE: Tactics, Techniques and Procedures (2020) - [3](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/maze-ransomware-no-longer-needs-an-invite/) McAfee Labs - Maze Ransomware Tactics Analysis (2020) - [4](https://www.proofpoint.com/us/blog/threat-insight/ta2101-plays-government-impersonation-game-distribute-maze-ransomware-europe) Proofpoint - TA2101 Distributes Maze Ransomware (2019) - [5](https://www.crowdstrike.com/blog/maze-ransomware-deobfuscated/) CrowdStrike - Maze Ransomware Technical Analysis (2020)