Análisis del ransomware Maze

  • El informe ‘CCN-CERT ID-14/20’ recoge el análisis de la muestra de código dañino perteneciente a la familia de ransomware Maze, cuyo objetivo es cifrar los ficheros de los sistemas infectados para solicitar el pago de un rescate.
  • Maze se ha posicionado como uno de los grupos precursores de la extorsión en público, amenazando a las empresas afectadas con filtrar su información confidencial. A lo largo del documento se detalla este proceso de extorsión, se ofrecen los detalles técnicos del código dañino y se proporciona una regla YARA.

El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado el Informe de Código Dañino CCN-CERT ID-14/20 “Maze”. Este recoge el análisis de la muestra de código dañino perteneciente a esta familia de ransomware, cuyo objetivo es cifrar los ficheros de los sistemas infectados para, posteriormente, solicitar el pago de un rescate a cambio de la herramienta de descifrado.

Las primeras muestras de Maze datan de principios de mayo de 2019, aunque en aquel momento se identificaba la familia de ransomware bajo el nombre ChaCha, en alusión al algoritmo que emplea para cifrar los ficheros de los sistemas infectados. En los últimos meses, Maze se ha perfilado como una de las principales amenazas a las que se enfrentan las empresas, en lo que respecta a infecciones por malware y su impacto en la continuidad de negocio, filtrado de información sensible y daño a la imagen corporativa.

Maze se ha posicionado como uno de los grupos precursores de la extorsión en público, amenazando a las empresas afectadas con filtrar su información confidencial en caso de negarse a colaborar, es decir, proceder con el pago del rescate. A lo largo del informe se detalla este modelo de extorsión, así como se ofrecen los detalles técnicos sobre la muestra analizada. Finalmente, se proporciona una regla YARA con la que identificar muestras similares de la familia de ransomware objeto de análisis.

CCN-CERT (19/05/2020)

CCN-CERT ID-14/20 “Maze”

Ministerio de Defensa
CNI
CCN
CCN-CERT