Maze Ransomware criptează folosind mașini virtuale și detectarea evaziunilor

Infractorii cibernetici caută întotdeauna noi formule, ba chiar îi observă pe cei ai colegilor lor pentru a efectua atacuri asupra victimelor lor. De data aceasta, a fost acesta din urmă și au fost inspirați de formația Ragnar Locker. Astfel, cu ajutorul lor Maze ransomware, ca și cele anterioare, au folosit o mașină virtuală pentru a cripta complet computerele și pentru a cere răscumpărarea tipică de ransomware.

Fundalul ransomware-ului Ragnar Locker

În luna mai a acestui an, Shophos a avertizat cu privire la prezența ransomware-ului Ragnar Locker care a fost criptat prin VirtualBox ferestre din Mașini virtuale XP pentru a ocoli software-ul de securitate pe gazda finală. Această mașină virtuală montează unitățile pe o gazdă ca partajări de la distanță, apoi rulează ransomware-ul pe o mașină virtuală pentru a cripta fișierele din partajare. Deoarece mașina virtuală nu rulează niciun software de securitate și montează unitățile gazdă, software-ul de securitate al gazdei nu poate detecta și bloca malware. Acest atac este inițiat prin crearea mai întâi a unui folder de instrumente care include VirtualBox, un mini disc virtual Windows XP numit micro.vdi și diverse executabile și scripturi pentru a pregăti sistemul. Apoi, de asemenea, are fișierul vrun.bat, care va monta fiecare unitate partajată, o va cripta și apoi va trece la următoarea unitate partajată cu mașina virtuală.

Maze Ransomware criptează folosind mașini virtuale

Așa cum am explicat anterior, software-ul de securitate care rulează pe gazda victimei nu detectează ransomware-ul executabil pe mașina virtuală și va continua să ruleze și să cripteze fișierele. La finalizare, victima va găsi o notă de răscumpărare personalizată care explică faptul că compania lor a fost atacată și că fișierele lor sunt criptate complet.

Maze ransomware și utilizarea sa de mașini virtuale

Totul începe atunci când Shopos, asistând la un incident al unui client, a descoperit că Labirint ransomware a încercat să își implementeze ransomware-ul de două ori. Cu toate acestea, datorită funcției Sophos Intercept X a fost blocată. Mașina virtuală utilizată de Maze rulează Windows 7, în timp ce cea pentru Ragnar Locker, așa cum am menționat anterior, a fost Windows XP. Ancheta a relevat, de asemenea, următoarele date:

  1. Au găsit mai multe scripturi de instalare datorită cărora a fost posibil să le descopere modul de a acționa.
  2. S-a constatat că atacatorii au petrecut zile întregi creând liste de adrese IP în rețeaua țintei. Pentru a face acest lucru, au folosit unul dintre serverele controlerului de domeniu al țintei și au exfiltrat date de pe Mega.nz.

Atacurile Maze ransomware au început prin utilizarea fișierelor batch și au făcut mai multe încercări de criptare a mașinilor din rețea. Apoi, deoarece nu și-au atins obiectivul, au creat sarcini programate pentru a rula ransomware-ul pe baza:

  • Securitate Windows Update.
  • Patch-uri de securitate Windows Update.
  • Actualizare de securitate Google Chrome.

Cu toate acestea, datorită activării protecțiilor comportamentale ale lui Intercept X Cryptoguard, acele încărcături utile pentru ransomware Maze au fost capturate și puse în carantină pe mașini protejate înainte de a putea provoca daune. Atacatorii, care au eșuat în primele două încercări, au optat apoi pentru o abordare mai radicală.

În cel de-al treilea atac, Maze a implementat un fișier MSI care a instalat software-ul VirtualBox VM pe server împreună cu o mașină virtuală Windows 7 personalizată. Pe discul rădăcină al acelui disc virtual avem trei fișiere asociate cu ransomware-ul Maze:

  1. preîncărcare.bat
  2. vrun.exe
  3. sarcină utilă (fără extensie de fișier), care este sarcina utilă reală a Maze DLL.

Apoi, cu mașina virtuală deja pornită, Maze ransomware, un fișier batch numit startup_vrun.bat va fi executat care pregătește mașina cu executabilele Maze.

Aparatul se oprește și, odată ce repornește din nou, va rula vrun.exe pentru a cripta fișierele de pe gazdă. Deoarece criptarea se face pe unitățile montate de gazdă, software-ul de securitate nu a reușit să detecteze comportamentul și să-l oprească.

Maze ransomware versus comparație Ragnar Locker

Cercetătorii de la SophosLabs subliniază că ransomware-ul Maze este mai scump de implementat în ceea ce privește dimensiunea discului comparativ cu Ragnar Locker. Aici avem un tabel în care puteți vedea acest lucru:

Ragnar Locker a fost implementat într-o mașină virtuală Oracle VirtualBox Windows XP. Sarcina utilă a atacului a fost un instalator de 122 MB cu o imagine virtuală de 282 MB. În schimb, atacatorii Maze ransomware au adoptat o abordare diferită folosind o mașină virtuală Windows 7. Acest lucru a făcut ca dimensiunea discului virtual să crească semnificativ, dar a adăugat și câteva caracteristici noi. În acest caz, mergem la un program de instalare de 733 MB și un hard disk virtual de 1.90 GB. În cele din urmă, după cum ați văzut, creatorii ransomware-ului Maze au folosit tehnici similare cu cele ale altor criminali cibernetici, cum ar fi Ragnar Locker.