Maze勒索软件背后的攻击者正在使用虚拟机来逃避检测,就像RagnarLocker勒索软件团伙所做的那样,根据Sophos的最新研究。安全供应商是第一个观察到这种攻击媒介的人,攻击者早在5月份就开始在虚拟机中分发勒索软件有效负载。与RagnarLocker勒索软件团伙相关的攻击者将恶意代码隐藏在WindowsXP虚拟机中,这使得勒索软件能够在不被端点安全软件检测或阻止的情况下运行。7月,Sophos发现Maze勒索软件对一个未具名的组织使用了类似的方法。调查显示,攻击者不断尝试用勒索软件感染计算机,同时索要1500万美元的赎金,但该组织最终没有支付。他们用勒索软件感染系统的最初尝试直到第三次尝试才成功,在第三次尝试中,攻击者使用了RagnarLocker的VM技术的增强版本。这种方法有助于攻击者进一步逃避端点安全产品的检测。Sophos首席研究员AndrewBrandt和事件响应经理PeterMackenzie在一篇博客文章中写道:“很明显,虚拟机已经由了解受害者网络的人预先配置,因为虚拟机的配置文件(“micro.xml”)映射两个驱动器盘符,在这个组织中用作共享网络驱动器,大概,它可以加密这些共享驱动器上的文件以及本地计算机上的文件。它还在C\SDRSMLINK\中创建一个文件夹,并共享与网络其余部分的文件夹。”Sophos的调查还显示,攻击者在交付勒索软件有效载荷前至少六天渗透了网络。尽管Maze勒索软件攻击与RagnarLocker的攻击相似,但并不完全相同。例如,Maze攻击者使用的是Windows7虚拟机而不是WindowsXP。Mackenzie在发给SearchSecurity的电子邮件中指出:“实际上,Maze使用的文件要大得多。这是因为他们的虚拟机是Windows7,而不是RagnarLocker使用的WindowsXP。但是,这种大小增加还有其他也有好处,其中最大的好处是Maze改变了他们的方法,使更改攻击中使用的勒索软件有效负载文件变得更容易和更快。这将使他们能够在文件被阻止时快速适应。这并不是Maze和RagnarLocker勒索软件团伙之间的第一个联系点。6月,Maze运营商宣布了一个勒索软件“卡特尔”,其中包括RagnarLocker等其他团伙,目的是共享资源并进一步勒索受害者支付赎金。众所周知,Maz通过在其泄密网站上发布窃取的数据来勒索受害者。Maze最近还添加了来自RagnarLocker勒索软件攻击受害者的数据,并指出“Ragnar提供的MazeCartel”。虽然7月的Maz攻击并没有完全复制RagnarLocker的技术,但Mackenzie表示这两个勒索软件团伙可能正在合作。“在“在7月的攻击发生时,'MazeCartel'已经包括RagnarLocker,”他说。以及LockBit勒索软件背后的团伙。此外,由于有这么多潜在目标,Maze基本上是将工作外包。这表明这些类型的团体的成长很像合法企业,并且正在扩大以满足需求。他们也可能正在分享策略、技术和流程,整个“迷宫卡特尔”也将从中受益。虽然最近几个月迷宫卡特尔明显增长,但尚不清楚它包含哪些团伙。根据BleepingComputer上个月的一份报告,SunCrypt勒索软件的运营商声称与Maze合作,并与该团伙有双向通信。nSearchSecurity询问了Maze运营商,他们拒绝与SunCrypt建立任何联系。迷宫通过电子邮件说:“SunCrypt是白痴,他们与我们的所有相似之处都是业务类型。他们的做法是低级的,我们永远不会将他们置于我们的品牌旗帜之下。”
