Labyrinthe ransomware s’arrête avec annonce bizarre

Un an après avoir pris de l’importance avec l’une des premières attaques ransomware double extorsion de haut profil sur les services d’installations fournisseur Allied Universal, le gang de ransomware Maze semble fermer ses activités.

Des rumeurs de fermeture circulaient dans le milieu de la sécurité depuis un certain temps avant d’être confirmées par les opérateurs de Maze dans une longue et quelque peu bizarre chape le 1er novembre 2020.

« Maze Team Project annonce qu’il est officiellement fermé », a déclaré le groupe. « outs les liens vers [sic] projet, en utilisant de notre marque, nos méthodes de travail devraient être considérés comme une arnaque.

Le gang Maze a continué à dis-le n’avait pas de partenaires ou de successeurs officiels, et semblait confirmer que le site d’information sur lequel il a publié des détails et des données divulguées de ses diverses attaques ne serait pas mis à jour à l’avenir, bien que quiconque veut leurs données privées retirées de celui-ci peut apparemment contacter Maze ‘chat de soutien’ pour le mois prochain ou deux.

« Le cartel de Maze n’a jamais exists et n’existe pas aujourd’hui. On ne le trouve qu’à l’intérieur de la tête des journalistes qui ont écrit à ce sujet », a déclaré le groupe.

Le groupe a ensuite tenté d’aborder ce qu’ils ont décrit comme des rumeurs, des mensonges et des spéculations sur Maze. Ils ont dit qu’ils avaient mis en place leur projet parce que le monde s’enfonce dans l’insouciance, l’indifférence, la paresse et la stupidité, et que jusqu’à ce que les organisations prennent la responsabilité de la cybersécurité, plus de groupes comme elle va « vous rappeler sur le stockage de données sécurisé ».

Maze a également semblé prétendre qu’ils avaient, à un moment donné, accès aux systèmes informatiques au gouvernement de l’État de New York et un certain nombre de fournisseurs de services Internet (FAI) avec une sécurité « dégoûtante », et a déclaré qu’ils auraient pu attaquer ces cibles, mais ont choisi de ne pas le faire.

Le gang Maze semble croire que leur vague de cybercriminalité d’un an n’était qu’une démonstration d’hygiène laxiste de la cybersécurité à leurs cibles, et que ces organisations seraient un jour attaquées par des « psychos radicaux » qui voulaient causer des dommages réels – ignorant les dommages et les perturbations qu’elles ont eux-mêmes causés.

La libération de Maze, dont certaines parties plus étranges ont été publiées par l’analyste de sécurité Graham Cluley, continue à rail contre la concentration des actifs de crypto-monnaie dans les mains de quelques personnes riches, et de mettre en garde contre la délégation de trop de contrôle sur la vie quotidienne aux technologies numériques, mettant en garde contre un futur « camp de détention numérique ».

Les tactiques de double extorsion lancées par le gang Maze – dans lequel les opérateurs de ransomware non seulement cryptent les données de leurs victimes, mais les volent et les fuient au public aussi – se sont répandues de loin parmi les pairs du gang, étant adoptés par les opérateurs de ReVIL/Sodinokibi et Avaddon, entre autres.

Le gang Maze a également été fortement investi dans la création d’un cartel de groupes affiliés avec lesquels il a travaillé et partagé les techniques d’attaque et d’expertise – ce réseau comprenait des gens comme LockBit, RagnarLocker et SunCrypt.

Cependant, comme on l’a vu précédemment dans la cyber-pègre criminelle – notamment dans le cas de GandCrab, dont les opérateurs ont « quitté » en mai 2019 seulement pour réapparaître en cours d’exécution ReVIL/Sodinokibi – il est très probable que la « retraite » du gang Maze est un signe qu’ils passent à d’autres projets.

Déjà, des similitudes entre Maze et deux ransomwares nouvellement émergents connus sous le nom Egregor et Sekhmet ont été observés, a fourni une forte indication que le groupe est simplement réoutillage pour une nouvelle vague de cyberattaques.