Cinco bufetes de abogados han sido afectados por un notorio grupo de ransomware conocido como Maze, tres en las últimas 72 horas. Es muy probable que #Maze apunte a más firmas de abogados en los próximos días y semanas. Si bien solo las empresas estadounidenses se han visto afectadas, las empresas de otros países están igualmente en riesgo.

Al mantenerse fiel al modus operandi típico de Maze, el cibergang no simplemente encriptó los datos de las firmas de abogados, sino que también los robó.

Maze, el mismo grupo responsable de los ataques a la ciudad de Pensacola, Allied Universal, Southwire y muchos otros, generalmente usa datos extraídos como influencia adicional en los ataques de ransomware. Maze inicialmente nombra a sus víctimas y, si eso no es suficiente para extraer el pago, publica una pequeña porción de sus datos en línea. Esto simplemente sirve como prueba de que tienen los datos y es el equivalente a un secuestrador que envía un dedo meñique. Si el rescate aún no se paga, Maze publica el resto de los datos en sus sitios web, a veces de forma escalonada. Anteriormente, Maze también publicó datos robados en un foro de piratas informáticos rusos con una nota que decía: "Use esta información de las formas nefastas que desee".

Con respecto a los ataques recientes, Maze ya ha publicado una parte de al menos dos de los datos robados de las empresas, que incluyen información del cliente.

Hay implicaciones significativas para los ataques de ransomware con capacidades de exfiltración de datos:

• La amenaza de publicar públicamente datos robados puede alentar a las víctimas a pagar el rescate, lo que puede hacer que el ransomware sea más rentable e incentivar nuevos ataques.

• Los ataques que roban datos se consideran violaciones de datos que, según la ley de EE. UU., Se tratan de manera muy diferente a las infecciones de malware. Las organizaciones afectadas por violaciones de datos deben notificar a los reguladores gubernamentales y a los usuarios afectados, y pueden enfrentar acciones legales de clientes perjudicados.

Si bien Maze afirma que los datos robados se eliminarán con el pago, sería un error suponer que esto se hará. ¿Por qué una empresa criminal eliminaría datos que podrían monetizar aún más?

Vector de ataque que se cree que son archivos adjuntos de correo electrónico maliciosos

Creemos que se utilizaron archivos adjuntos de correo electrónico malicioso para infectar las redes de los bufetes de abogados afectados. El ransomware se puede entregar en una variedad de formatos, incluidos PDF, ZIP, documento de Word, hoja de cálculo de Excel y más. Abrir un archivo adjunto malicioso puede desplegar el ransomware de inmediato, o puede permitir que los atacantes ejecuten el ransomware de forma remota en el futuro.

Si bien aún se desconoce la naturaleza exacta de los correos electrónicos, es probable que los archivos adjuntos se envíen a través de correos electrónicos de phishing. El phishing es un vector de ataque muy común en el que los actores de amenazas fingen ser una entidad legítima para provocar una acción del objetivo. Los ataques de phishing pueden ser muy sofisticados. En algunos casos, los actores de amenazas pueden usar sitios web diseñados profesionalmente, direcciones de correo electrónico falsificadas y los logotipos e información de contacto de compañías reales para aumentar la ilusión de legitimidad y alentar al destinatario a abrir un archivo adjunto malicioso.

Asesoramiento de seguridad para despachos de abogados.

Es muy probable que Maze apunte a más firmas de abogados en los días siguientes. Dado que la última ronda de ataques es una forma de ingeniería social que se basa en engañar a los empleados, una de las formas más efectivas de defensa consiste en capacitar al personal para identificar ataques basados ​​en correo electrónico.

A continuación hay algunos consejos útiles de seguridad para firmas de abogados:

• Tenga mucho cuidado cuando procese el correo electrónico: como se señaló anteriormente, creemos que el vector de ataque son archivos adjuntos de correo electrónico maliciosos.

• Capacite al personal para ser cauteloso: aliente a los empleados de todos los niveles de la empresa a pensar antes de hacer clic. El personal debe ser muy cauteloso al abrir archivos adjuntos en correos electrónicos no solicitados y siempre colocar el cursor sobre los enlaces antes de hacer clic para verificar que la URL conduce a un sitio web legítimo. Si el personal no está seguro de la legitimidad de un correo electrónico, debe verificar con el remitente utilizando una forma de comunicación que no sea de correo electrónico.

• Evite habilitar macros: las empresas deben buscar orientación del equipo de TI antes de habilitar macros. Si bien las macros son una forma efectiva de automatizar tareas comunes en Microsoft Office, los atacantes también pueden usar esta funcionalidad para entregar ransomware y otras formas de malware.

• Tenga cuidado con el lenguaje urgente: muchos ataques de phishing dependen de convencer al destinatario del correo electrónico para que haga clic en un enlace o abra un archivo adjunto. El personal debe desconfiar de los correos electrónicos que se escriben utilizando un lenguaje inusualmente agresivo o urgente.

• Verifique la dirección del remitente: los atacantes suelen utilizar el nombre de dominio y la suplantación de nombre para ocultar la verdadera dirección del remitente. El personal debe tomarse el tiempo de verificar siempre que el nombre para mostrar coincida con la dirección de correo. Además, las empresas deben emplear una combinación de tecnologías de autenticación como el Marco de políticas del remitente, el Correo identificado de DomainKeys y el Informe y conformidad de autenticación de mensajes basados ​​en el dominio.

Conclusión

Los recientes ataques de ransomware de Maze contra bufetes de abogados son un duro recordatorio para que las organizaciones permanezcan vigilantes y fortalezcan las prácticas de seguridad cibernética. Dado que el ransomware Maze se puede distribuir por correo electrónico, es importante que las firmas de abogados alienten al personal a ser cautelosos al hacer clic en los enlaces y archivos adjuntos, y siempre verificar las solicitudes que parezcan sospechosas.