Los operadores anónimos detrás del Maze Ransomware están siendo demandados por una víctima por acceder ilegalmente a su red, robar datos, encriptar computadoras y publicar los datos robados después de que no se pagó un rescate
La compañía que está demandando a Maze es Southwire, un fabricante líder de alambres y cables de Carrollton, Georgia, que fue atacado en diciembre de 2019 . Como parte de este ataque, el ransomware supuestamente robó 120 GB de datos y cifró 878 dispositivos.
Después de un rescate de 850 bitcoins, o $ 6 millones. no fue pagado por Southwire, los operadores de Maze publicaron una parte de sus datos robados en un sitio de "noticias" que los actores de la amenaza crearon.
Este sitio está alojado en un ISP en Irlanda que Southwire afirma que se contactó repetidamente pero no recibió una respuesta.
Southwire demanda las operaciones de Maze
El 31 de diciembre de 2019, Southwire presentó una demanda en el Distrito Norte de Georgia, EE. UU. Contra los operadores de Maze y solicitó medidas cautelares contra un proveedor de alojamiento en Irlanda por alojar el sitio de noticias de Maze y los archivos robados.
En una acción civil contra "John Doe", Southwire está solicitando medidas cautelares y daños contra los operadores de Maze por el cifrado de su red y la publicación de datos robados recuperados durante el ataque del ransomware.
"Esta es una acción civil por medidas cautelares y daños contra el Demandado que surgen en virtud de la Ley de Fraude y Abuso Informático, 18 USC § 1030, y la ley común de traspaso a bienes muebles. Como se alega más adelante, el Demandado accedió por error a los sistemas informáticos de Southwire y extrajo Southwire's información comercial confidencial y otra información confidencial de los sistemas informáticos. El demandado luego exigió varios millones de dólares para mantener la información privada, pero después de que Southwire rechazó la extorsión del acusado, el acusado publicó erróneamente parte de la información confidencial de Southwire en un sitio web de acceso público que el acusado controla ".
Si bien puede parecer extraño presentar una demanda contra los operadores de Maze, varios abogados con los que habló BleepingComputer dijeron que podría ser reservar su lugar para daños monetarios en caso de que el gobierno recupere el dinero. Esta acción también podría usarse para proporcionar medidas cautelares contra cualquier proveedor u organización de alojamiento con sede en los EE. UU. Que publique los datos robados por Maze.
"El Título 18, Código de los Estados Unidos, Sección 1030 (g) establece que" cualquier persona que sufra daños o pérdidas debido a una violación de esta seguridad puede mantener una acción civil contra el infractor para obtener daños compensatorios y medidas cautelares u otras medidas equitativas . ”Bajo 18 USC § 1030 (g), (a) (2) (C) y (c) (4) (A) (i) (I), se puede iniciar una acción civil si la conducta implica una pérdida durante cualquier período de un año que agregue al menos $ 5,000 en valor.
El demandado violó la Ley de Abuso y Fraude Informático, 18 USC § 1030 (a) (2) (C), accediendo a sabiendas e intencionalmente a las computadoras protegidas de Southwire sin autorización o en exceso de cualquier autorización y, por lo tanto, obteniendo información de las computadoras protegidas en una transacción que implica una comunicación interestatal o extranjera ".
Como parte de la demanda, se incluyeron dos pruebas; una de las notas de rescate y una imagen redactada, que probablemente era el sitio robado de datos o noticias del laberinto.
Southwire busca medidas cautelares en Irlanda
En una acción relacionada, el abogado de Southwire solicitó un desagravio por mandato judicial de los tribunales de Irlanda contra la empresa que aloja el sitio de noticias Maze y los archivos robados.
Según TheJournal.ie, Southwire hizo repetidas demandas a la empresa de alojamiento web llamada World Hosting Farm Limited, que aloja el sitio de noticias Maze, para eliminar sus datos robados, pero nunca recibió una respuesta.
Debido a esto, la compañía buscó medidas cautelares contra las partes involucradas.
"La orden judicial requiere que los acusados eliminen del sitio web todos los datos relacionados con Southwire y sus clientes", informó TheJournal.ie . "La orden también obliga a los acusados a entregar todos los datos tomados de Southwire, y que no se tome más material de la firma estadounidense que se publique en Internet ni en ningún otro lugar".
El mandato temporal fue otorgado en parte, pero el tribunal no prohibió a los medios mencionar el nombre de la víctima como parte de su denuncia.
No se sabe si el equipo de Maze intentará alojar su sitio de noticias con otro proveedor de hosting o moverlo a Tor, donde será mucho más difícil eliminarlo.
Esto también podría ser un movimiento peligroso por parte de Southwire, ya que podría llevar a los operadores de Maze a liberar todos los datos robados en lugar de solo unos pocos archivos.
"Este es un movimiento audaz pero arriesgado de Southwire. Podría empujar al Grupo Maze a liberar todos los datos de la compañía, mientras que la eliminación del sitio web podría resultar en un juego de whack-a-mole en el que los datos se publican en otro, posiblemente más ubicaciones visibles ", dijo Brett Callow, analista de amenazas de Emsisoft, a BleepingComputer a través de una conversación por correo electrónico.
Dado que los operadores de Maze son muy públicos con respecto a sus operaciones y su disposición a publicar datos robados, esto podría ser un movimiento que podría conducir a la exposición de más datos.
Fecha actualización el 2021-01-03. Fecha publicación el 2020-01-03. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil