กลุ่ม Maze ได้ hosting data leak site และโจมตีโดย public IP address
SunCrypt ได้ค้นพบตัวอย่างของ SunCrypt ransomware ว่ามันถูกติดตั้งผ่าน obfuscated PowerShell script เมื่อ ransomware ถูก executed มันจะทำการเชื่อมต่อไปที่ URL http[:]//91[.]218[.]114[.]31 และทำการส่งข้อมูลการโจมตีและข้อมูลเหยื่อ
กลุ่ม Maze ได้ hosting data leak site และปล่อยการโจมตีโดยใช้ public IP address ในขณะนี้เอง service ของพวกเขาก็ยังทำงานอยู่ โดยที่ยังไม่ถูกจัดการด้วยการบังคับใช้กฏหมาย ซึ่งเกิดเป็นแง่มุมที่มองออกได้ก็คือ พวกเขากำลังแชร์ข้อมูลร่วมกันกับกลุ่มภายในสมาชิก
กลุ่ม SunCrypt พวกใช้ DLL เมื่อทำการ execute มันจะทำการ encrypt computer’s files ในทุกๆ folder ransome เป็น YOUR_FILES_ARE_ENCRYPTED[.]HTML link ไปยัง Tor payment site
IOC : dsauth[.]dll, wiashext[.]dll, msctfmig[.]dll, mll_qic[.]dll, tsmigplugin[.]dll, http[:]//91[.]218[.]114[.]31