Maze勒索软件团伙利用VM逃避检测

根据Sophos的最新研究显示，Maze勒索软件背后的攻击者采用Ragnar Locker勒索软件团伙的做法，利用虚拟机来逃避检测。

该安全供应商最先观察到这种攻击手段，攻击者早在5月就开始将勒索软件有效负载分布在虚拟机内。与Ragnar Locker勒索软件团伙相关的攻击者将恶意代码隐藏在Windows XP VM中，这使勒索软件可以肆意运行，而不会被端点的安全软件检测到或阻止。

在今年7月，Sophos发现，Maze勒索软件使用类似方法对一家未具名组织进行攻击。调查显示，攻击者不断试图用勒索软件感染计算机，同时索要1500万美元的赎金，但该组织最终没有支付。他们最开始使用勒索软件感染系统没有成功，直到第三次尝试才成功，攻击者使用Ragnar Locker的VM技术的增强版本。该方法可帮助攻击者进一步逃避端点安全产品的检测。

Sophos公司首席研究员Andrew Brandt和事件响应经理Peter Mackenzie在博客中写道：“很显然，虚拟机已经由了解受害者网络的人预先配置，因为虚拟机的配置文件(”micro.xml”)映射了两个驱动器号，这些驱动器号在该组织中用作共享网络驱动器，大概是这样，它可以对这些共享驱动器以及本地计算机上的文件进行加密。它还在C\SDRSMLINK \中创建了一个文件夹，并与网络的其余部分共享该文件夹。”

Sophos的调查还显示，攻击者在提供勒索软件有效载荷前，至少提前六天就已渗透到网络中。

尽管Maze勒索软件攻击类似于Ragnar Locker的攻击，但并不完全相同。例如，Maze攻击者使用的是虚拟Windows 7机器，而不是Windows XP。

Mackenzie在给SearchSecurity的电子邮件中指出：“实际上，Maze使用的文件要大得多。这是由于他们的虚拟机是Windows 7，而不是Ragnar Locker使用的Windows XP。但是，这种大小的增加还包括其他好处，最大的好处是Maze更改了方法，使其可更容易和更快更改攻击中使用的勒索软件有效负载文件。当文件被阻止时，这将使他们能够迅速适应。”

这并不是Maze和Ragnar Locker勒索软件团伙间的第一个关联点。今年6月，Maze操作者宣布推出勒索软件“cartel”，其中包含其他团伙，包括Ragnar Locker，其目的是共享资源并进一步勒索受害者支付赎金。Maz通过在其泄漏站点上发布被盗数据来勒索受害者而广为人知。当Maze最近还添加了Ragnar Locker勒索软件攻击的受害者的数据，并注明“Ragnar提供的Maze Cartel”。

虽然7月的Maz攻击并未完全复制Ragnar Locker的技术，但Mackenzie表示，这两个勒索软件团伙可能正在合作。

他说：“在7月攻击发生时，‘Maze Cartel’已经包括Ragnar Locker和LockBit勒索软件背后的团伙。此外，由于非常多潜在目标，Maze基本上是外包工作。这表明这些类型的团体的发展非常像合法企业，并且正在扩大以满足需求。他们可能还在共享战术、技术和流程，整个‘Maze Cartel’也将从中受益。”

尽管最近几个月Maze Cartel显然有所增长，但尚不清楚其中包含哪些团伙。根据Bleeping Computer上个月的报告显示，SunCrypt勒索软件的操作者声称正在与Maze合作，并与该团伙进行双向通信。当SearchSecurity向Maze操作者询问时，他们否认与SunCrypt的任何联系。

Maze通过电子邮件称：“SunCrypt是白痴，他们与我们的所有相似之处仅在于业务类型。他们的做法很低级，我们永远不会把他们纳入我们的品牌旗下。”