Вымогательское ПО от Maze теперь шифрует через виртуальные машины, чтобы избежать обнаружения

Дата: 18.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Вымогательское ПО от Maze теперь шифрует через виртуальные машины, чтобы избежать обнаружения

Киберпреступники из группировки Maze применяют тактику, ранее использовавшуюся группой Ragnar Locker – шифрование через виртуальные машины для избегания обнаружения.

Ранее хакерская группа Ragnar Locker была замечена в шифровании файлов через виртуальные машины VirtualBox Windows XP в целях обхода антивирусов и программ обеспечения безопасности на хосте.

ИБ-специалисты из компании Sophos обнаружили, что киберпреступники из Maze дважды пытались развернуть вымогательское ПО на устройствах одного из клиентов Sophos, но попытки были заблокированы функционалом инструмента Intercept X.

В первых двух попытках злоумышленники из Maze старались запустить разные исполняемые файлы вымогательского ПО, используя запланированные задачи под названиями:

  • «Безопасность Центра обновления Windows».
  • «Патчи безопасности Центра обновления Windows».
  • «Обновление безопасности Google Chrome».

После двух неудавшихся атак Питер Маккензи, специалист по информационной безопасности Sophos, сообщил, что киберпреступники из Maze использовали тактику, ранее применявшуюся программой-вымогателем Ragnar Locker.

В своей третьей кибератаке хакеры из Maze развернули файл MSI, который установил ПО VirtualBox VM на сервере вместе с настроенной виртуальной машиной Windows 7. После запуска виртуальной машины, как и при предыдущих атаках злоумышленников из Ragnar Locker, запускается командный файл с именем startup_vrun.bat, который подготавливает виртуалку с исполняемыми файлами Maze:

Вымогательское ПО от Maze теперь шифрует через виртуальные машины, чтобы избежать обнаружения

Затем атакуемое устройство выключается, а после перезагрузки запускается vrun.exe для шифрования файлов хоста. Поскольку виртуальная машина выполняет шифрование на подключенных дисках хоста, программное обеспечение безопасности не может обнаружить это нежелательное поведение и остановить его.

Поскольку для атаки виртуальной машины хакеры из Ragnar Locker использовали Windows XP, общий размер был всего 404 МБ. А хакеры из Maze использовали Windows 7, поэтому занимаемый размер был намного больше и составлял 2,6 ГБ. Эта кибератака показывает, что киберпреступники отслеживают тактику своих конкурентов и при необходимости применяют ее.

Также следует отметить, что группа Ragnar Locker является частью картеля Maze Ransomware, поэтому возможно, что хакеры предложил помощь Maze в этом методе кибератаки.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *