El grupo responsable del rescate, autodenominado Maze, ha publicado varias capturas de pantalla en su sitio web, con la intención de demostrar que ha obtenido acceso a los sistemas de Xerox. Los atacantes buscan aumentar sus posibilidades de obtener un botín no sólo cifrando los archivos de las víctimas, sino también robando información de los servidores comprometidos y amenazando con hacerla pública a menos que se cumpla su demanda de rescate.
El hecho de que los ciberdelincuentes hayan publicado el nombre de Xerox en su sitio web sugiere que la empresa no se puso en contacto con ellos en los tres días siguientes a la encriptación de sus archivos, según estos suelen exigir.
Con base en las capturas de pantalla hechas públicas, los hackers parecen haber sustraído, entre otras cosas, documentos financieros y bases de datos que posiblemente almacenan información de los usuarios. Las fechas que aparecen en las capturas de pantalla sugieren que el ransomware comenzó a cifrar archivos en las computadoras de Xerox el 24 de junio. Xerox aún no ha hecho comentarios sobre el tema.
Según trascendió, una de las presuntas víctimas más recientes de Maze es LG. El grupo ya habría liberado un archivo de 3,6 GB que supuestamente contiene sólo el 1% de los datos sustraidos a la empresa sudcoreana. Aunque el archivo está disponible para descarga en el sitio web de Maze, los delincuentes lo han protegido por una contraseña, que aseguran darán a conocer “llegado el momento”. Maze ha advertido a las víctimas que no pagar el rescate terminará costándoles mucho más que el cobro inicial si sus archivos se filtran.
La Universidad de California y Travelex son ejemplos recientes de empresas que han pagado rescate para recuperar sus archivos (ver artículos relacionados). Anteriormente, Intel ha recomendado a las empresas afectadas por ransomware simplemente pagar.