根据Sophos最新研究表明,Maze勒索软件背后的攻击者使用Ragnar Locker利用虚拟机逃避检测勒索软件团伙的做法。
该安全供应商首先观察到了这种攻击,攻击者早在5月就开始在虚拟机中分布勒索软件的有效负载。Ragnar Locker与勒索软件团伙相关的攻击者隐藏恶意代码Windows XP VM这使得勒索软件在不被端点安全软件检测或阻止的情况下肆意运行。
在今年7月,Sophos发现,Maze勒索软件使用类似的方法攻击一个未知的组织。调查显示,攻击者不断试图用勒索软件感染计算机,并要求赎金1500万美元,但该组织最终没有支付。直到第三次尝试,他们才使用勒索软件感染系统Ragnar Locker的VM技术增强版。该方法可以帮助攻击者进一步避免检测端点安全产品。
Sophos公司首席研究员Andrew Brandt事件响应经理Peter Mackenzie在博客中写道:“显然,由于虚拟机的配置文件是由了解受害者网络的人提前配置的(”micro.xml”)它映射了两个驱动器号,在该组织中用作共享网络驱动器。大概是这样的。它可以加密这些共享驱动器和本地计算机上的文件。C\SDRSMLINK \它创建了一个文件夹,并与网络的其他部分共享。”
Sophos调查还显示,在提供勒索软件有效载荷之前,攻击者至少提前六天渗透到网络中。
尽管Maze类似于勒索软件攻击Ragnar Locker但是攻击并不完全例如,Maze攻击者使用虚拟Windows 7机,而不是Windows XP。
Mackenzie在给SearchSecurity电子邮件指出:“实际上,Maze使用的文件要大得多。这是因为他们的虚拟机是Windows 7,而不是Ragnar Locker使用的Windows XP。然而,这种尺寸的增加还包括其他好处,最大的好处是Maze更改了方法,使其可更容易和更快更改攻击中使用的勒索软件有效负载文件。当文件被阻止时,这将使他们能够迅速适应。”
这并不是Maze和Ragnar Locker今年6月,Maze操作人员宣布推出勒索软件“cartel”,包括其他团伙,包括Ragnar Locker,目的是共享资源,进一步勒索受害者支付赎金。Maz众所周知,通过在其泄漏站发布被盗数据来勒索受害者。Maze最近加了Ragnar Locker勒索软件攻击受害者的数据,并注明“Ragnar提供的Maze Cartel”。
虽然7月的Maz攻击没有完全复制Ragnar Locker的技术,但Mackenzie表示,这两个勒索软件团伙可能正在合作。
他说:“7月发生攻击时,‘Maze Cartel’已经包括Ragnar Locker和LockBit勒索软件背后的团伙。此外,由于许多潜在目标,Maze基本上是外包工作。这表明,这些类型的团体的发展与合法企业非常相似,并正在扩大以满足需求。他们可能仍在分享整个战术、技术和流程‘Maze Cartel’也将从中受益。”
尽管最近几个月Maze Cartel显然增长了,但还不清楚其中包含了哪些团伙。Bleeping Computer上个月的报告显示,SunCrypt勒索软件的操作人员声称正在与Maze与团伙合作,双向通信。SearchSecurity向Maze当操作人员询问时,他们否认SunCrypt任何联系。
Maze电子邮件称:“SunCrypt是白痴,他们与我们的所有相似之处仅在于业务类型。他们的做法很低级,我们永远不会把他们纳入我们的品牌旗下。”