Desarrollador de Ransomware comparte claves de descifrado maestras de Egregor y Maze

Las claves maestras de descifrado para las operaciones del ransomware as a Service Maze, Egregor y Sekhmet fueron publicadas anoche en los foros de BleepingComputer por el presunto desarrollador de malware, además incluye el código fuente del malware M0yv.

Fin al proyecto Maze Ransomware - Una al Día

Maze (Laberinto en español), que cambió de nombre a Egregor y que opera desde mayo de 2019 es conocido por ser responsable del uso de tácticas de robo de datos y doble extorsión que ahora utilizan muchas operaciones de ransomware. La operación Sekhmet fue un poco atípica ya que se lanzó en marzo de 2020, mientras Maze todavía estaba activo.

Maze es una infección de ransomware que ha estado operando durante algún tiempo, pero se ha  vuelto cada vez más activa  desde mayo de 2019. Los afiliados de Maze también se están volviendo más conocidos después de verlos realizar numerosas campañas de spam que se hacen pasar por agencias gubernamentales.

Evolución del Ransomware al As-a-Service – NIVEL4 Labs

Las claves de descifrado para estas operaciones ahora se han filtrado en foros de BleepingComputer por un usuario llamado ‘Topleak’ que afirma ser el desarrollador de las tres operaciones. El presunto desarrollador de este ransomware explicó que fueron filtraciones planificadas y que hubo una supuesta destrucción del código de fuente de Maze-Egregor.

La publicación incluye un enlace de descarga para un archivo 7zip con cuatro archivos que contienen las claves de descifrado de Maze, Egregor y Sekhmet, y el código fuente de un malware ‘M0yv’ utilizado por la banda de ransomware. Cada uno de estos archivos contiene la clave de cifrado maestra pública y la clave de descifrado maestra privada asociada con un “anuncio” específico o afiliado de la operación de ransomware.

En total, la siguiente es la cantidad de claves maestras de descifrado RSA-2048 liberadas por operación de ransomware:

  • Mazw: 9 claves maestras de descifrado para el malware original dirigido a usuarios no corporativos y 30 claves maestras de descifrado.
  • Egregor: 19 claves maestras de descifrado.
  • Sekhmet : 1 clave maestra de descifrado.

Además, Emsisoft ha lanzado un descifrador para permitir que cualquier víctima de Maze, Egregor y Sekhmet que haya estado esperando recupere sus archivos de forma gratuita. Para usar el descifrador, las víctimas necesitarán una nota de rescate creada durante el ataque, ya que contiene la clave de descifrado cifrada.

Código de fuente adicional del malware M0yv

El archivo también incluye el código fuente del ‘infectador de archivos x86/x64 modular’ M0yv desarrollado por la operación de ransomware Maze y utilizado anteriormente en ataques.

Este código fuente viene en forma de un proyecto de Microsoft Visual Studio e incluye algunas DLL ya compiladas.

Fragmento de código fuente para el malware M0yv
Fuente: BleepingComputer

El archivo todo.txt indica que el código fuente de este malware se actualizó por última vez el 19 de enero de 2022.

¿CÓMO TRABAJA ESTE RANSOMWARE?

Maze Ransomware utiliza encriptación RSA y ChaCha20 como parte del proceso de encriptación. Genera un par RSA en ejecución que cuando se ejecuta, busca archivos para cifrar y agregar diferentes extensiones a los archivos, como se puede ver a continuación. Mientras se ejecuta, el ransomware intentará conectarse a 15 sitios por su dirección IP, que comienzan con 92. Al conectarse, utilizará URL aleatorias como se muestra a continuación. No se sabe si se trata de servidores de Comando y Control que no funcionan o si se utilizan por otro motivo.

Archivos de laberinto cifrados
Conexiones a Servidor Remotoa

Finalmente, creará una nota de rescate llamada DECRYPT-FILES.html que contiene información sobre lo que sucedió con los archivos de la víctima y un correo electrónico de contacto para recibir instrucciones de pago. 

Laberinto Nota de rescate
Nota de rescate Maze-Egregor

Una característica interesante de este ransomware es que intentará detectar si la computadora es una computadora doméstica, una estación de trabajo, un controlador de dominio, un servidor, etc. y luego indicará que cambia las cantidades del rescate en consecuencia.

¿CÓMO EVITAR CAMPAÑAS DE MALWARE Y RANSOMWARE COMO MAZE-EGREGOR, SEKHMET Y M0YV?

  • Realice recurrentemente copias de seguridad de sus datos.
  • No abra archivos adjuntos si desconoce quién los envió.
  • Escanee archivos adjuntos con herramientas como VirusTotal.
  • Asegúrese de que todas las actualizaciones de sus sistemas operativos y aplicaciones estén instaladas tan pronto como salgan. También asegúrese de actualizar todos los programas, especialmente Java, Flash y Adobe Reader.
  • Asegúrese de tener algún tipo de software de seguridad instalado.
  • Use contraseñas seguras y nunca reutilice la misma contraseña en varios sitios.
  • Si está utilizando Servicios de escritorio remoto, no lo conecte directamente a Internet. En su lugar, hágalo accesible solo a través de una VPN.