这份声明是一份含糊其辞的声明,拼写错误层出不穷,并发布在其网站上的黑暗网络上。在过去的一年里,该网站公布了大量被盗的内部文件和文件,这些文件来自其目标公司,包括Cognizant、网络安全保险公司Chubb、制药巨头ExecuPharm、特斯拉(Tesla)和SpaceX零部件供应商Visser,以及国防承包商Kimchuk。
典型的勒索软件组织会用文件加密恶意软件感染受害者,并持有文件以换取赎金,而Maze则因首先泄露受害者的数据并威胁要公布被盗文件而臭名昭著,除非支付赎金。
这很快成为勒索软件集团的首选策略,他们建立网站-通常是在黑暗的网络上-如果受害者拒绝付款,就会泄露他们窃取的文件。
Maze最初使用漏洞工具包和垃圾邮件活动来感染受害者,但后来开始利用已知的安全漏洞专门针对大牌公司。众所周知,Maze使用易受攻击的虚拟专用网络(VPN)和远程桌面(RDP)服务器对受害者的网络发起有针对性的攻击。
一些索要的赎金高达数百万美元。据报道,梅兹向一家总部位于佐治亚州的电线电缆制造商索要600万美元,并在该组织对其网络进行加密后,向一家未具名的组织索要1500万美元。但在3月份新冠肺炎被宣布为大流行后,迷宫-以及其他勒索软件组织-承诺不会以医院和医疗设施为目标。
但是安全专家们还没有开始庆祝。毕竟,勒索软件团伙仍然是犯罪企业,很多都是受利润驱使。
安全公司Emsisoft的勒索软件专家和威胁分析师布雷特·卡洛(Brett Clow)表示:“显然,梅兹的说法应该持非常、非常小的态度。”“当然有可能的是,该集团认为他们赚到了足够的钱,能够关门歇业,扬帆起航,走向夕阳。”然而,他们也有可能--也可能更有可能--决定重塑品牌。“。
卡洛说,该组织的明显解散留下了关于迷宫组织与其他组织的联系和参与的悬而未决的问题。他说:“由于迷宫是一个附属组织,他们的犯罪伙伴不太可能退休,而是会简单地与另一个组织结盟。”
梅兹在声明中否认这是一个勒索软件组织的“卡特尔”,但专家们并不认同。Akamai的安全研究员史蒂夫·拉根(Steve Ragan)表示,众所周知,Maze会在其网站上发布其他勒索软件的数据,如Ragnar Locker和LockBit勒索软件。
“对于他们来说,现在假装没有团队或卡特尔只是明显的倒退。显然,这些组织在很多层面上都在合作,“Ragan说。
“不利的一面,以及另一个重要的因素是,什么都不会改变,勒索软件仍然会存在,”Ragan说。他说:“犯罪分子的目标仍然是开放访问、暴露的RDP(远程桌面协议)和VPN门户,并仍然发送带有恶意附件的恶意电子邮件,希望感染互联网上毫无戒备的受害者。”
FireEye Mandiant威胁情报部门的杰里米·肯纳利(Jeremy Kennelly)表示,虽然迷宫品牌可能已经死亡,但其运营商可能不会永远离开。
肯纳利说:“我们高度自信地评估,许多合作启用迷宫勒索软件服务的个人和团体可能会继续从事类似的行动-要么努力支持现有的勒索软件服务,要么在未来支持新的行动。”