СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
18.09.2020
#ИБ#Инфра

Вымогательское ПО от Maze теперь шифрует через виртуальные машины, чтобы избежать обнаружения

Вымогательское ПО от Maze теперь шифрует через виртуальные машины, чтобы избежать обнаружения

Киберпреступники из группировки Maze применяют тактику, ранее использовавшуюся группой Ragnar Locker – шифрование через виртуальные машины для избегания обнаружения.

Ранее хакерская группа Ragnar Locker была замечена в шифровании файлов через виртуальные машины VirtualBox Windows XP в целях обхода антивирусов и программ обеспечения безопасности на хосте.

ИБ-специалисты из компании Sophos обнаружили, что киберпреступники из Maze дважды пытались развернуть вымогательское ПО на устройствах одного из клиентов Sophos, но попытки были заблокированы функционалом инструмента Intercept X.

В первых двух попытках злоумышленники из Maze старались запустить разные исполняемые файлы вымогательского ПО, используя запланированные задачи под названиями:

  • «Безопасность Центра обновления Windows».
  • «Патчи безопасности Центра обновления Windows».
  • «Обновление безопасности Google Chrome».

После двух неудавшихся атак Питер Маккензи, специалист по информационной безопасности Sophos, сообщил, что киберпреступники из Maze использовали тактику, ранее применявшуюся программой-вымогателем Ragnar Locker.

В своей третьей кибератаке хакеры из Maze развернули файл MSI, который установил ПО VirtualBox VM на сервере вместе с настроенной виртуальной машиной Windows 7. После запуска виртуальной машины, как и при предыдущих атаках злоумышленников из Ragnar Locker, запускается командный файл с именем startup_vrun.bat, который подготавливает виртуалку с исполняемыми файлами Maze:

Затем атакуемое устройство выключается, а после перезагрузки запускается vrun.exe для шифрования файлов хоста. Поскольку виртуальная машина выполняет шифрование на подключенных дисках хоста, программное обеспечение безопасности не может обнаружить это нежелательное поведение и остановить его.

Поскольку для атаки виртуальной машины хакеры из Ragnar Locker использовали Windows XP, общий размер был всего 404 МБ. А хакеры из Maze использовали Windows 7, поэтому занимаемый размер был намного больше и составлял 2,6 ГБ. Эта кибератака показывает, что киберпреступники отслеживают тактику своих конкурентов и при необходимости применяют ее.

Также следует отметить, что группа Ragnar Locker является частью картеля Maze Ransomware, поэтому возможно, что хакеры предложил помощь Maze в этом методе кибератаки.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: