根据Sophos的最新研究显示,Maze勒索软件背后的攻击者采用Ragnar Locker勒索软件团伙的做法,利用虚拟机来逃避检测。
该安全供应商最先观察到这种攻击手段,攻击者早在5月就开始将勒索软件有效负载分布在虚拟机内。与Ragnar Locker勒索软件团伙相关的攻击者将恶意代码隐藏在Windows XP VM中,这使勒索软件可以肆意运行,而不会被端点的安全软件检测到或阻止。
在今年7月,Sophos发现,Maze勒索软件使用类似方法对一家未具名组织进行攻击。调查显示,攻击者不断试图用勒索软件感染计算机,同时索要1500万美元的赎金,但该组织最终没有支付。他们最开始使用勒索软件感染系统没有成功,直到第三次尝试才成功,攻击者使用Ragnar Locker的VM技术的增强版本。该方法可帮助攻击者进一步逃避端点安全产品的检测。
Sophos公司首席研究员Andrew Brandt和事件响应经理Peter Mackenzie在博客中写道:“很显然,虚拟机已经由了解受害者网络的人预先配置,因为虚拟机的配置文件(”micro.xml”)映射了两个驱动器号,这些驱动器号在该组织中用作共享网络驱动器,大概是这样,它可以对这些共享驱动器以及本地计算机上的文件进行加密。它还在C\SDRSMLINK \中创建了一个文件夹,并与网络的其余部分共享该文件夹。”
Sophos的调查还显示,攻击者在提供勒索软件有效载荷前,至少提前六天就已渗透到网络中。
尽管Maze勒索软件攻击类似于Ragnar Locker的攻击,但并不完全相同。例如,Maze攻击者使用的是虚拟Windows 7机器,而不是Windows XP。
Mackenzie在给SearchSecurity的电子邮件中指出:“实际上,Maze使用的文件要大得多。这是由于他们的虚拟机是Windows 7,而不是Ragnar Locker使用的Windows XP。但是,这种大小的增加还包括其他好处,最大的好处是Maze更改了方法,使其可更容易和更快更改攻击中使用的勒索软件有效负载文件。当文件被阻止时,这将使他们能够迅速适应。”
这并不是Maze和Ragnar Locker勒索软件团伙间的第一个关联点。今年6月,Maze操作者宣布推出勒索软件“cartel”,其中包含其他团伙,包括Ragnar Locker,其目的是共享资源并进一步勒索受害者支付赎金。Maz通过在其泄漏站点上发布被盗数据来勒索受害者而广为人知。当Maze最近还添加了Ragnar Locker勒索软件攻击的受害者的数据,并注明“Ragnar提供的Maze Cartel”。
虽然7月的Maz攻击并未完全复制Ragnar Locker的技术,但Mackenzie表示,这两个勒索软件团伙可能正在合作。
他说:“在7月攻击发生时,‘Maze Cartel’已经包括Ragnar Locker和LockBit勒索软件背后的团伙。此外,由于非常多潜在目标,Maze基本上是外包工作。这表明这些类型的团体的发展非常像合法企业,并且正在扩大以满足需求。他们可能还在共享战术、技术和流程,整个‘Maze Cartel’也将从中受益。”
尽管最近几个月Maze Cartel显然有所增长,但尚不清楚其中包含哪些团伙。根据Bleeping Computer上个月的报告显示,SunCrypt勒索软件的操作者声称正在与Maze合作,并与该团伙进行双向通信。当SearchSecurity向Maze操作者询问时,他们否认与SunCrypt的任何联系。
Maze通过电子邮件称:“SunCrypt是白痴,他们与我们的所有相似之处仅在于业务类型。他们的做法很低级,我们永远不会把他们纳入我们的品牌旗下。”