Издание Bleeping Computer сообщает, что известный шифровальщик Maze, существующий с мая 2019 года, прекращает свою деятельность. Похоже, авторы Maze решили поступить также, как ранее поступили их «коллеги», создавшие малварь GandCrab и закрывшие разработку в середине прошлого года.
Журналисты напоминают, что именно операторы Maze задали новый тренд среди киберспреступников и первыми стали использовать «двойное вымогательство». Так, в 2019 году хакеры начали не просто шифровать данные своих жертв, но также стали публиковать файлы, похищенные у атакованных компаний, если те открывались платить. Операторы Maze завели для таких «сливов» специальный сайт, и уже скоро их примеру последовали другие группировки, включая Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza и Netwalker, которые так же стали использовать украденные данные в качестве дополнительного рычага давления на пострадавших.
Слухи о завершении работы Maze стали доходить до журналистов еще в сентябре 2020 года. Так, некоторое время назад с Bleeping Computer связался злоумышленник, участвовавший в недавнем взломе Barnes & Noble.
Преступник сообщил, что занимается вымогательскими атаками: взламывает сети компаний и ворует учетные данные домена Windows. Доступ к скомпрометированным сетям затем передается аффилированным лицам, которые уже разворачивают в сетях жертв шифровальщик. Затем такие взломщики, аффилированные лица и разработчики вымогательской малвари делят между собой полученный выкуп.
В разговоре с Bleeping Computer хакер рассказал, что Maze прекращает свою работу, а создатели малвари не берутся за шифрование новых жертв с сентября 2020 года, в настоящее время пытаясь получить от пострадавших ранее компаний остатки выкупов.
Когда журналисты попытались связаться с самими разработчиками Maze, те ответили, что не станут комментировать эти слухи и посоветовали «дождаться официального пресс-релиза». Однако издание отмечает, что на этой неделе операторы Maze начали очищать свой "сайт утечек", и в настоящее время там осталась лишь информация о двух жертвах хакеров, а также данные компаний, которые ранее были опубликованы полностью.
Нередко после завершения всех операций операторы вымогателей публикуют в открытом доступе все ключи, необходимые для дешифрования данных (например, так поступили создатели малвари Crysis, TeslaCrypt и Shade). Поэтому журналисты Bleeping Computer поинтересовались у авторов Maze, собираются ли они поступить также, но не получили ответа.
Интересно, что многие «партнеры» Maze уже перешли использование шифровальщика Egregor, чья активность началась в сентябре 2020 года, как раз тогда, когда авторы Maze стали сворачивать свои операции.
ИБ-эксперты считают, что в основе Egregor лежит тот же код, на котором ранее были построены вымогатели Maze и Sekhmet. Более того, эти вредоносы используют практически одинаковые вымогательские записки, одинаковые названия платежных сайтов и их исходники во многом схожи.
Говоривший с журналистами хакер тоже подтвердил, что Maze, Sekhmet и Egregor — это, в сущности, одно и то же. В свою очередь, ИБ-специалист Майкл Гиллеспи, изучивший Sekhmet и Egregor, обнаружил, что пострадавшим от Egregor пользователям, заплатившим выкуп, прислали ПО для расшифровки данных под названием Sekhmet Decryptor.
Журналисты издания резюмируют, что прекращение работы конкретного шифровальщика вовсе не означает «уход на порой» и его авторов. Чаще всего хакеры просто переключаются на новое ПО и продолжают свои вымогательские операции.