Maze 勒索軟件團伙利用 VM 逃避檢測

根據Sophos的最新研究顯示，Maze勒索軟件背后的攻擊者采用Ragnar Locker勒索軟件團伙的做法，利用虛擬機來逃避檢測。

該安全供應商最先觀察到這種攻擊手段，攻擊者早在5月就開始將勒索軟件有效負載分布在虛擬機內。與Ragnar Locker勒索軟件團伙相關的攻擊者將惡意代碼隱藏在Windows XP VM中，這使勒索軟件可以肆意運行，而不會被端點的安全軟件檢測到或阻止。

在今年7月，Sophos發現，Maze勒索軟件使用類似方法對一家未具名組織進行攻擊。調查顯示，攻擊者不斷試圖用勒索軟件感染計算機，同時索要1500萬美元的贖金，但該組織最終沒有支付。他們最開始使用勒索軟件感染系統沒有成功，直到第三次嘗試才成功，攻擊者使用Ragnar Locker的VM技術的增強版本。該方法可幫助攻擊者進一步逃避端點安全產品的檢測。

Sophos公司首席研究員Andrew Brandt和事件響應經理Peter Mackenzie在博客中寫道：“很顯然，虛擬機已經由了解受害者網絡的人預先配置，因為虛擬機的配置文件（”micro.xml”）映射了兩個驅動器號，這些驅動器號在該組織中用作共享網絡驅動器，大概是這樣，它可以對這些共享驅動器以及本地計算機上的文件進行加密。它還在C\SDRSMLINK \中創建了一個文件夾，并與網絡的其余部分共享該文件夾。”

Sophos的調查還顯示，攻擊者在提供勒索軟件有效載荷前，至少提前六天就已滲透到網絡中。

盡管Maze勒索軟件攻擊類似于Ragnar Locker的攻擊，但并不完全相同。例如，Maze攻擊者使用的是虛擬Windows 7機器，而不是Windows XP。

Mackenzie在給SearchSecurity的電子郵件中指出：“實際上，Maze使用的文件要大得多。這是由于他們的虛擬機是Windows 7，而不是Ragnar Locker使用的Windows XP。但是，這種大小的增加還包括其他好處，最大的好處是Maze更改了方法，使其可更容易和更快更改攻擊中使用的勒索軟件有效負載文件。當文件被阻止時，這將使他們能夠迅速適應。”

這并不是Maze和Ragnar Locker勒索軟件團伙間的第一個關聯點。今年6月，Maze操作者宣布推出勒索軟件“cartel”，其中包含其他團伙，包括Ragnar Locker，其目的是共享資源并進一步勒索受害者支付贖金。Maz通過在其泄漏站點上發布被盜數據來勒索受害者而廣為人知。當Maze最近還添加了Ragnar Locker勒索軟件攻擊的受害者的數據，并注明“Ragnar提供的Maze Cartel”。

雖然7月的Maz攻擊并未完全復制Ragnar Locker的技術，但Mackenzie表示，這兩個勒索軟件團伙可能正在合作。

他說：“在7月攻擊發生時，‘Maze Cartel’已經包括Ragnar Locker和LockBit勒索軟件背后的團伙。此外，由于非常多潛在目標，Maze基本上是外包工作。這表明這些類型的團體的發展非常像合法企業，并且正在擴大以滿足需求。他們可能還在共享戰術、技術和流程，整個‘Maze Cartel’也將從中受益。”

盡管最近幾個月Maze Cartel顯然有所增長，但尚不清楚其中包含哪些團伙。根據Bleeping Computer上個月的報告顯示，SunCrypt勒索軟件的操作者聲稱正在與Maze合作，并與該團伙進行雙向通信。當SearchSecurity向Maze操作者詢問時，他們否認與SunCrypt的任何聯系。

Maze通過電子郵件稱：“SunCrypt是白癡，他們與我們的所有相似之處僅在于業務類型。他們的做法很低級，我們永遠不會把他們納入我們的品牌旗下。”