กลุ่มแรนซัมแวร์เพิ่มกลยุทธ์การเรียกค่าไถ่ โดยการใช้บริการคอลเซ็นเตอร์โทรกดดันหาเหยื่อที่ถูกแฮก

Evgueni Erchov หัวหน้าทีม IR & Cyber ​​Threat Intelligence จาก Arete Incident Response ได้เปิดเผยถึงพฤติกรรมของกลุ่มแรนซัมแวร์ที่ได้ใช้กลยุทธ์ใหม่ในการกดดันและเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อ โดยใช้บริการคอลเซ็นเตอร์โทรหาเหยื่อที่ถูกแฮกและอาจพยายามกู้คืนระบบจากการสำรองข้อมูลและหลีกเลี่ยงการจ่ายค่าไถ่

พฤติกรรมดังกล่าวยังสอดคล้องตามรายงานของ Emsisoft และ Coveware ที่ได้เห็นเเนวโน้มกลยุทธ์ใหม่ในการเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อตั้งแต่อย่างน้อยเมื่อเดือนสิงหาคมที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่เคยโทรหาเหยื่อเพื่อข่มขู่เหยื่อในอดีตได้แก่กลุ่ม Sekhmet Ransomware, Maze Ransomware, Conti Ransomware และ Ryuk Ransomware

ตามรายงานของบริษัททั้ง 3 พบว่ากลุ่มคอลเซ็นเตอร์ที่โทรข่มขู่เหยื่อที่หลีกเลี่ยงการจ่ายค่าไถ่นั้นเป็นกลุ่มเดียวกับที่ทำงานให้กับกลุ่มแรนซัมแวร์ เนื่องจากมีเทมเพลตและสคริปต์ที่ใช้ในการติดต่อที่เหมือนกัน

ทั้งนี้บริษัทหรือองค์กรต่างๆ ควรทำการตรวจสอบระบบความปลอดภัยภายในเครือข่ายและทำการอัปเดตซอฟต์แวร์ที่ใช้อยู่สม่ำเสมอ เพื่อเป็นการป้องกันกการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: zdnet

 

กลุ่ม SunCrypt Ransomware ประกาศเข้าร่วมเป็นสมาชิกในกลุ่ม Maze Ransomware

กลุ่ม Ransomware ที่ชื่อ SunCrypt ประกาศเข้าเป็นสมาชิกในกลุ่ม Maze Ransomware เพื่อแชร์ข้อมูลเชิงลึกโดยการแบ่งปันข้อมูลด้านเทคนิคและส่วนเเบ่งจากเงินค่าไถ่จากกลุ่ม Maze Ransomware โดย SunCrypt Ransomware นั้นถูกพบการปฏิบัติการครั้งเเรกในเดือนตุลาคม 2019 ซึ่งยังไม่เป็นที่รู้จักและไม่ค่อยมีการถูกพูดถึงมากนัก

จากตัวอย่าง SunCrypt Ransomware ที่ถูกวิเคราะห์เบื้องต้นพบว่า SunCrypt Ransomware จะทำการติดตั้งตัวเองผ่าน PowerShell โดยแรนซัมแวร์จะทำการเชื่อมต่อกับเซิฟเวอร์ C&C ของกลุ่ม Maze Ransomware ที่ [91[.]218.114.31|http://91[.]218.114.31/] เมื่อทำการรันไฟล์แรนซัมแวร์จะพบว่าแรนซัมแวร์เข้ารหัสไฟล์บนคอมพิวเตอร์ที่ตกเป็นเหยื่อโดยจะทำการเพิ่มเลขฐานสิบหกต่อท้ายชื่อไฟล์ นอกจากนั้นในทุกโฟลเดอร์จะมีไฟล์บันทึกเรียกค่าไถ่ชื่อ YOUR_FILES_ARE_ENCRYPTED HTML ถูกสร้างขึ้น

ไฟล์บันทึกเรียกค่าไถ่จะลิงก์ไปยังเว็บไซต์การชำระเงินด้วย Tor Network โดยในเว็บไซต์การชำระเงินจะมีเพียงหน้าจอแชทที่เหยื่อสามารถเจรจาค่าไถ่กับผู้กลุ่ม SunCrypt Ransomware และนอกจากนี้ยังมีลิงก์ที่เชื่อมโยงไปยังเว็บไซต์ที่กลุ่ม SunCrypt Ransomware ทำขึ้นเพื่อเพื่อเผยแพร่ข้อมูลตัวอย่างของเหยื่อ

เนื่องจาก SunCrypt Ransomware เป็นแรนซัมแวร์ชนิดใหม่ทำให้โปรเเกรมป้องกันไวรัสหลายๆ ชนิดยังไม่สามารถตรวจจับได้ ผู้ใช้งานควรทำการระมัดระวังในการดาวน์โหลดไฟล์เเหล่งที่ไม่รู้จักหรือเปิดอีเมลจากเเหล่งที่ไม่รู้ที่มาเพื่อเป็นการป้องกันการโจมตีด้วย Ransomware ชนิดใหม่นี้

ที่มา: bleepingcomputer.

Canon ถูกโจมตีด้วย Maze Ransomware และคาดว่าข้อมูล 10TB ถูกขโมยไปด้วย

Canon ประสบปัญหาถูกโจมตีด้วย Maze Ransomware ส่งผลกระทบทำให้บริการหลายๆ อย่าง อาทิ เช่น อีเมล, Microsoft Teams, เว็บไซต์ของ Canon ที่อยู่ภายในประเทศสหรัฐอเมริกาและแอปพลิเคชันภายในอื่น ๆ

BleepingComputer ได้ทำการติดต่อ Canon เพื่อถามถึงสาเหตุการหยุดให้บริการของ image.

กลุ่ม Maze Ransomware ปล่อยข้อมูลชุดสมบูรณ์ 100% ของการไฟฟ้าส่วนภูมิภาคแล้ว

กลุ่ม Maze Ransomware ปล่อยข้อมูลชุด 100% ซึ่งเป็นผลมาจากการโจมตีระบบของการไฟฟ้าส่วนภูมิภาคแล้วหลังจากถึงเส้นตายตามมาตรการใหม่ของกลุ่ม Maze

ตามมาตรการใหม่ของ Maze ซึ่งไอ-ซีเคียวได้เคยนำเสนอข่าวไปก่อนแล้วนั้น กลุ่ม Maze จะทำการปล่อยข้อมูลชุดแรกบางส่วนเพื่อยืนยันการโจมตีว่าได้เกิดขึนจริง หลังจากนั้นกลุ่ม Maze จะมีการให้เวลาเหยื่อเป็นเวลา 10 วันเพื่อให้ดำเนินการทำตามข้อตกลง (คำขู่กรรโชก) โดยหากเหยื่อไม่สามารถทำได้ภายในเวลา 10 วัน กลุ่ม Maze จะมีดำเนินการปล่อยข้อมูลทั้งหมดที่กลุ่มได้มาจากการปฏิบัติการนั้น

ในสถานการณ์ปัจจุบันนั้น เป็นที่แน่ชัดแล้วว่าทาง PEA ตัดสินใจที่จะไม่ปฏิบัติตามคำเรียกร้องของกลุ่ม Maze ซึ่งส่งผลให้เกิดการปล่อยข้อมูลชุดนี้ออกมา การตัดสินใจในครั้งนี้หากอยู่บนพื้นฐานของการมีข้อมูลที่เพียงพอและสามารถประเมินผลกระทบหากข้อมูลที่ถูกผู้โจมตียึดครองถูกปล่อยออกมาได้ก็อาจถือได้ว่าเป็นการตัดสินใจที่ถูกต้อง เพราะการยินยอมทำตามคำขู่กรรโชกในทางอ้อมก็ถือเป็นการสนับสนุนให้กลุ่ม Maze คงอยู่และปฏิบัติการต่อไปได้

ไฟล์ที่ถูกปล่อยออกมาในครั้งล่าสุดนี้มีจำนวน 18 ไฟล์ รวมจากที่ปล่อยออกมาแล้วจำนวน 3 ไฟล์เป็นจำนวนทั้งหมด 21 ไฟล์ มีการปรากฎของชื่อไฟล์ที่บ่งชี้ให้เห็นถึงความเกี่ยวข้องกับโครงการของทาง PEA อาทิ ELGBlockchanin.

กลุ่ม Maze Ransomware ประกาศกฎการจ่ายค่าไถ่ใหม่ พร้อมขู่ปล่อยข้อมูลหากไม่มีการพูดคุยกันหลังจาก 10 วัน คาด “การไฟฟ้าส่วนภูมิภาค” อาจถูกปล่อยข้อมูลหากไม่ยอมจ่ายค่าไถ่เร็วๆ นี้

กลุ่ม Maze Ransomware ซึ่งมีผลงานล่าสุดกับการโจมตีระบบของการไฟฟ้าส่วนภูมิภาคและระบบของบริษัทชั้นนำอย่าง ST Engineering มีการอัปเดตกฎใหม่ผ่าน Official press ของทางกลุ่ม โดยเราอาจมองได้ว่านี่คือ Service Level Agreement (SLA) ที่ Maze นำเสนอมาใหม่

ภายใต้ประกาศใหม่นั้น Maze จะปล่อยข้อมูลภายในของเหยื่อเพื่อยืนยันการโจมตีภายใน 3 วัน โดยกลุ่มสนับสนุนให้มีการพูดคุยกันเพื่อหาข้อตกลงที่เหมาะสมที่สุดในการจ่ายค่าไถ่ พร้อมคำขู่ใหม่ว่าจะมีการปล่อยข้อมูลทั้งหมดหากเหยื่อไม่ยอมเข้ามาพูดคุยเรื่องข้อตกลงภายใน 10 วัน โดยเมื่อมีการปล่อยข้อมูลแล้ว ทาง Maze จะมีการติดต่อไปยังลูกค้าและคู่ค้าของเหยื่อ รวมไปถึงหน่วยงานกำกับดูแลเพื่อกดดันและประจานด้วย

การออกมาของกฎใหม่นี้กระทบกับกรณีของการโจมตีการไฟฟ้าส่วนภูมิภาค เนื่องจากกลุ่มได้มีการระบุอย่างชัดเจนว่าทางกลุ่ม Maze Ransomware กำลังจะดำเนินการปล่อยข้อมูลทั้งหมดของเหยื่อซึ่งรวมไปถึงการไฟฟ้าส่วนภูมิภาคในเร็ววันนี้

ที่มา: twitter

Xerox Corporation ถูกโจมตีด้วย Maze Ransomware

ผู้ทำปฏิบัติการ Maze ransomware ได้อัปเดตรายชื่อผู้ที่ติดเป็นเหยื่อเพิ่มโดยคราวนี้ปรากฏรายชื่อของบริษัทยักษ์ใหญ่ของโลก Xerox Corporation และคาดว่ามีข้อมูลถูกขโมยออกไปจำนวน 100GB

วันที่ 24 มิถุนายนที่ผ่านเว็บไซต์ของผู้ทำปฏิบัติการ Maze ransomware ได้เเสดงรายชื่อผู้ที่ตกเป็นเหยื่อเพิ่มเติม โดยปรากฏรายชื่อของบริษัท Xerox Corporation หลักฐานที่ถูกพบนั้นประกอบไปด้วยภาพถ่ายที่เเสดงรายชื่อไดเรกทอรีของวันที่ 24 และ 25 มิถุนายน, รูปถ่าย network sharing, ภาพถ่ายบนโฮส eu.

LG Electronics ถูก Maze ransomware โจมตี ปล่อยข้อมูลยืนยันการโจมตีเป็นข้อมูลเกี่ยวกับเฟิร์มแวร์

นักวิจัยจาก Cyble ค้นพบการเปิดเผยข้อมูลของบริษัท LG Electronics ซึ่งเป็นผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์รายใหญ่โดยกลุ่ม Maze ransomware คาดว่าการเปิดเผยข้อมูลในครั้งนี้เป็นการเปิดเผยเพื่อยืนยันการโจมตีกลุ่มบริษัท LG Electronics

Maze ransomware โดยปกติแล้วจะข่มขู่เหยื่อให้จ่ายค่าไถ่เพื่อแลกกับการที่กลุ่ม Maze จะไม่ปล่อยข้อมูลอื่นๆ ที่ยึดมาได้จากการเข้าถึงระบบออกสู่สาธารณะ และทางกลุ่มจะมีการเปิดเผยข้อมูลบางส่วนออกมาก่อนเพื่อยืนยันการโจมตีว่าได้เกิดขึ้นจริง โดยสำหรับในกรณีของ LG Electronics นั่้น ข้อมูลที่มีการเปิดเผยออกมาข้างต้นเพื่อยืนยันการโจมตีมีลักษณะเป็นรูปภาพ 3 ภาพที่แสดงให้เห็นถึงการรายละเอียดข้อมูลเฟิร์มแวร์และฮาร์ดแวร์ซึ่งกำลังคิดค้นและวิจัยกันภายใน

ที่มา: securityaffairs

รายละเอียดภัยคุกคามและปฏิบัติการของ Maze Ransomware

ทำความรู้จักปฏิบัติการของมัลแวร์เรียกค่าไถ่ Maze
มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้วย

ไมโครซอฟต์มีการบัญญัติคำเพื่อเรียกมัลแวร์เรียกค่าไถ่และปฏิบัติการของมัลแวร์เรียกค่าไถ่ในกลุ่มนี้ว่า Human-operated Ransomware ซึ่งส่วนหนึ่งในปฏิบัติการของมัลแวร์เรียกค่าไถ่ที่สำคัญคือการที่ผู้ไม่ประสงค์ดีคอยควบคุมและจัดการเพื่อให้สามารถสร้างผลกระทบต่อเหยื่อและผลประโยชน์ต่อผู้ไม่ประสงค์ดีให้ได้มากที่สุด

ในเชิงเทคนิคนั้น ความแตกต่างระหว่างมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์หรือ Classic ransomware campaign กับมัลแวร์เรียกค่าไถ่และกลุ่มปฏิบัติการแบบ Human-operated ransomware มีตามประเด็นดังนี้

เวลาที่ใช้ในปฏิบัติการ (Operation time):

Classic ransomware campaign: จุดอ่อนสำคัญของมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์อยู่ในจุดที่กระบวนการเข้ารหัสไฟล์ของมัลแวร์เรียกค่าไถ่ถูกตรวจพบหรือถูกขัดขวางก่อนที่จะดำเนินการเสร็จสิ้น ดังนั้นมัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะดำเนินการเสร็จให้เร็วและหลีกเลี่ยงการที่จะถูกตรวจจับให้ได้มากที่สุด ทำให้การตรวจจับนั้นจะสามารถทำได้เฉพาะในช่วงเวลาที่มีการทำงานของมัลแวร์เรียกค่าไถ่เท่านั้น
Human-operated ransomware: มัลแวร์เรียกค่าไถ่และปฏิบัติการในกลุ่มนี้มีการแสดงพฤติกรรมของการเข้าถึงระบบ เคลื่อนย้ายตัวเองไปยังระบบอื่น พยายามยกระดับสิทธิ์และเข้าถึงข้อมูลคล้ายกับพฤติกรรมของกลุ่ม Advanced Persistent Threat (APT) ที่มีเป้าหมายในการจารกรรมข้อมูล ส่งผลให้กรอบและระยะเวลาในการปฏิบัติการนั้นยาวและอาจเพิ่มโอกาสในการตรวจจับความผิดปกติจากพฤติกรรมได้ด้วย

หลักฐานหลังจากการโจมตี (Post-incident artifacts):

Classic ransomware campaign: มัลแวร์เรียกค่าไถ่จะแสดงตัวก็ต่อเมื่อกระบวนการเข้ารหัสไฟล์เสร็จสิ้นแล้วผ่านทาง Ransom note หรือข้อความซึ่งอธิบายเหตุการณ์และขั้นตอนของ ด้วยข้อมูลใน Ransom note ดังกล่าว การระบุหาประเภทของมัลแวร์เรียกค่าไถ่และผลกระทบอื่นๆ ที่อาจเกิดขึ้นจึงสามารถทำได้โดยง่าย
Human-operated ransomware: เนื่องจากระยะเวลาของปฏิบัติการที่ยาวและโอกาสที่ปฏิบัติการของมัลแวร์เรียกค่าไถ่จะถูกตรวจพบระหว่างดำเนินการโดยที่ยังไม่มีหลักฐานอย่างเช่น Ransom note อย่างชัดเจนจึงมีโอกาสที่สูงซึ่งส่งผลให้การระบุประเภทของภัยคุกคามและผลกระทบของเหตุการณ์นั้นทำได้ยาก การรับมือและตอบสนองเหตุการณ์ในลักษณะนี้จำเป็นต้องประเมินถึงความเป็นไปได้ว่าเหตุการณ์ดังกล่าวอาจจบที่มีการใช้ Ransomware ในที่สุดด้วย

พฤติกรรมของ Maze Ransomware
ไมโครซอฟต์ได้มีการเปิดเผยพฤติกรรมของมัลแวร์เรียกค่าไถ่ในกลุ่ม Human-operated Ransomware รวมไปถึงพฤติกรรมของ Maze ในบทความ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk ซึ่งสามารถสรุปโดยสังเขปได้ดังนี้

หมายเหตุ: ข้อมูลพฤติกรรมของภัยคุกคามสามารถเปลี่ยนแปลงได้ตลอดเวลา เราแนะนำให้มีการนำข้อมูลเหล่านี้มีจัดลำดับความสำคัญ ประเมินความพร้อมในการตรวจจับและตอบสนอง และดำเนินการตามที่วางแผนเอาไว้เพื่อให้เกิดประโยชน์สูงสุด

Maze มักปรากฎการเข้าถึงระบบที่มีความเสี่ยงด้วยการโจมตีผ่านเซอร์วิส Remote Desktop ซึ่งตั้งค่าไว้อย่างไม่ปลอดภัย ในขณะที่มัลแวร์กลุ่มอื่นมีการโจมตีช่องโหว่ซึ่งเป็นที่มีการเปิดเผยมาก่อนแล้ว อาทิ ช่องโหว่ใน Citrix Application Delivery Controller (CVE-2019-19781) หรือช่องโหว่ใน Pulse Secure VPN (CVE-2019-11510) ไมโครซอฟต์ยังมีการระบุว่าเป้าหมายหลักของ Maze คือการโจมตีกลุ่มผู้ให้บริการ (Managed Service Provider) เพื่อใช้เป็นช่องทางในการเข้าถึงผู้ใช้บริการในกลุ่มธุรกิจนี้ด้วย
Maze ใช้โปรแกรม Mimikatz ในการระบุหาข้อมูลสำหรับยืนยันตัวตนในระบบ ข้อมูลสำหรับยืนยันตัวตนนี้จะถูกใช้เพื่อเข้าถึงระบบอื่นๆ
กระบวนการเคลื่อนย้ายตัวเองในระบบภายในขององค์กรมักเกิดขึ้นผ่านการใช้โปรแกรม Cobalt Strike ทั้งนี้เทคนิคและวิธีการที่ Cobalt Strike รองรับนั้นโดยส่วนใหญ่เป็นเทคนิคซึ่งเป็นที่รู้จักกันอยู่แล้ว อาทิ การโจมตีแบบ Pass-the-Hash, WinRM หรือการใช้เซอร์วิส PsExec ในการเข้าถึงด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้มา
กระบวนการฝังตัวของ Maze มีการปรากฎการใช้ฟีเจอร์ Scheduled Tasks ร่วมกับการใช้คำสั่ง PowerShell ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกโจมตีไปแล้วได้ Maze ยังมีการใช้ฟีเจอร์ WinRM ในการควบคุมระบบเมื่อได้บัญชีซึ่งมีสิทธิ์ของ Domain admin ด้วย
Maze มีการแก้ไขการตั้งค่าใน Group Policy หลายรายการเพื่อช่วยอำนวยความสะดวกในการโจมตี

นอกเหนือจากข้อมูลการวิจัยจากไมโครซอฟต์ FireEye ยังได้มีการระบุข้อมูลพฤติกรรมเพิ่มเติมของปฏิบัติการของ Maze ซึ่งพบกลุ่มของพฤติกรรมที่แตกต่างกันในการแพร่กระจายและสามารถใช้บ่งชี้ให้เห็นว่าผู้อยู่เบื้องหลังในการปฏิบัติการของ Maze อาจมีมากกว่าหนึ่งกลุ่ม (อ้างอิง)
คำแนะนำในการตรวจจับและป้องกันภัยคุกคาม

ในกรณีที่ตรวจพบพฤติกรรมต้องสงสัย พิจารณาการทำ Endpoint segmentation โดยการกำหนด Policy ของ Windows Firewall หรือด้วยอุปกรณ์อื่นๆ เพื่อจำกัดการติดต่อระหว่างโฮสต์หากมีการพยายามติดต่อรับส่งข้อมูลผ่านทางโปรโตคอล
ในกรณีที่ตรวจพบพฤติกรรมต้องสงสัย พิจารณาการทำ Endpoint segmentation โดยการจำกัดหรือปิดการใช้งานฟีเจอร์ Administrative shares ได้แก่ ADMIN$ (ใช้โดย PsExec), C$, D$ และ IPC$ ทั้งนี้องค์กรควรมีการประเมินความเสี่ยงก่อนดำเนินการเนื่องจากการจำกัดหรือปิดการใช้งานฟีเจอร์ดังกล่าวอาจส่งผลต่อการทำงานของระบบภายในองค์กร
จำกัดการใช้งานบัญชีผู้ใช้งานในระบบในกรณีที่มีการใช้งานเพื่อแพร่กระจายมัลแวร์
ตั้งค่าหากมีการใช้ Remote Desktop Protocol (RDP) โดยให้พิจารณาประเด็นดังต่อไปนี้

จำกัดการเข้าถึงจากอินเตอร์เน็ต หรือในกรณีที่จำเป็นต้องมีการเข้าถึง ให้ทำการกำหนดหมายเลขไอพีแอดเดรสที่สามารถเข้าถึงได้ผ่าน Windows Firewall
พิจารณาใช้งาน Multi-factor authentication ทั้งในรูปแบบของการใช้งาน Remote Desktop Gateway หรือเทคโนโลยีอื่นๆ ที่เกี่ยวข้อง
จำกัดสิทธิ์และการจำกัดบัญชีผู้ใช้งานที่สามารถเข้าถึงระบบจากระยะไกลผ่านโปรโตคอล
ในกรณีที่จำเป็นต้องมีการเข้าถึงและใช้งาน Remote Desktop Protocol (RDP) จากอินเตอร์เน็ต ให้พิจารณาใช้งาน Network Leveal Authentication (NLA) เพื่อป้องกันการโจมตีในรูปแบบของการเดาสุ่มรหัสผ่าน ทั้งนี้หากมีการใช้งาน NLA ควรตรวจสอบให้แน่ใจว่าระบบที่มีการเชื่อมต่อนั้นรองรับการใช้งาน และไม่ควรใช้ฟีเจอร์ CredSSP เพื่อป้องกันการบันทึกข้อมูลสำหรับยืนยันตัวตนไว้ในหน่วยความจำของระบบ

ทำการตั้งค่า Group Policy เพื่อควบคุมสิทธิ์ในการใช้ตามความเหมาะสม อาทิ ทำการตั้งค่าเพื่อป้องกันการเข้าถึงข้อมูลสำหรับยืนยันตัวตนที่ไม่ได้ถูกปกป้องในหน่วยความจำผ่านทาง Group Policy หรือการตั้งค่ารีจิสทรี รวมไปถึงดำเนินการตั้งค่าที่เกี่ยวข้องกับความแข็งแกร่งของรหัสผ่านของบัญชีผู้ใช้งานใน Group Policy
ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์บนเครื่องในองค์กรทุกเครื่อง และอัปเดตข้อมูลและเวอร์ชั่นของซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ
พิจารณาการใช้งานข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise — IOC) ในการช่วยเฝ้าระวังและตรวจจับการมีอยู่ของภัยคุกคาม แหล่งข้อมูลซึ่งสามารถค้นหาข้อมูลตัวบ่งชี้ภัยคุกคามของ Maze มีตามรายการดังต่อไปนี้

ค้นหาข่าวและ IOC ทั้งหมดของ Maze ด้วย APT & Malware CSE
(แนะนำ) รายงานการวิเคราะห์พฤติกรรมของ Maze จาก FireEye
(แนะนำ) รายงานการวิเคราะห์การทำงานของไฟล์มัลแวร์ในปฏิบัติการ Maze โดย McAfee