根據(jù)Sophos的最新研究顯示，Maze勒索軟件背后的攻擊者采用Ragnar Locker勒索軟件團(tuán)伙的做法，利用虛擬機(jī)來(lái)逃避檢測(cè)。

該安全供應(yīng)商最先觀察到這種攻擊手段，攻擊者早在5月就開(kāi)始將勒索軟件有效負(fù)載分布在虛擬機(jī)內(nèi)。與Ragnar Locker勒索軟件團(tuán)伙相關(guān)的攻擊者將惡意代碼隱藏在Windows XP VM中，這使勒索軟件可以肆意運(yùn)行，而不會(huì)被端點(diǎn)的安全軟件檢測(cè)到或阻止。

在今年7月，Sophos發(fā)現(xiàn)，Maze勒索軟件使用類似方法對(duì)一家未具名組織進(jìn)行攻擊。調(diào)查顯示，攻擊者不斷試圖用勒索軟件感染計(jì)算機(jī)，同時(shí)索要1500萬(wàn)美元的贖金，但該組織最終沒(méi)有支付。他們最開(kāi)始使用勒索軟件感染系統(tǒng)沒(méi)有成功，直到第三次嘗試才成功，攻擊者使用Ragnar Locker的VM技術(shù)的增強(qiáng)版本。該方法可幫助攻擊者進(jìn)一步逃避端點(diǎn)安全產(chǎn)品的檢測(cè)。

Sophos公司首席研究員Andrew Brandt和事件響應(yīng)經(jīng)理Peter Mackenzie在博客中寫道：“很顯然，虛擬機(jī)已經(jīng)由了解受害者網(wǎng)絡(luò)的人預(yù)先配置，因?yàn)樘摂M機(jī)的配置文件(”micro.xml”)映射了兩個(gè)驅(qū)動(dòng)器號(hào)，這些驅(qū)動(dòng)器號(hào)在該組織中用作共享網(wǎng)絡(luò)驅(qū)動(dòng)器，大概是這樣，它可以對(duì)這些共享驅(qū)動(dòng)器以及本地計(jì)算機(jī)上的文件進(jìn)行加密。它還在C\SDRSMLINK \中創(chuàng)建了一個(gè)文件夾，并與網(wǎng)絡(luò)的其余部分共享該文件夾。”

Sophos的調(diào)查還顯示，攻擊者在提供勒索軟件有效載荷前，至少提前六天就已滲透到網(wǎng)絡(luò)中。

盡管Maze勒索軟件攻擊類似于Ragnar Locker的攻擊，但并不完全相同。例如，Maze攻擊者使用的是虛擬Windows 7機(jī)器，而不是Windows XP。

Mackenzie在給SearchSecurity的電子郵件中指出：“實(shí)際上，Maze使用的文件要大得多。這是由于他們的虛擬機(jī)是Windows 7，而不是Ragnar Locker使用的Windows XP。但是，這種大小的增加還包括其他好處，最大的好處是Maze更改了方法，使其可更容易和更快更改攻擊中使用的勒索軟件有效負(fù)載文件。當(dāng)文件被阻止時(shí)，這將使他們能夠迅速適應(yīng)。”

這并不是Maze和Ragnar Locker勒索軟件團(tuán)伙間的第一個(gè)關(guān)聯(lián)點(diǎn)。今年6月，Maze操作者宣布推出勒索軟件“cartel”，其中包含其他團(tuán)伙，包括Ragnar Locker，其目的是共享資源并進(jìn)一步勒索受害者支付贖金。Maz通過(guò)在其泄漏站點(diǎn)上發(fā)布被盜數(shù)據(jù)來(lái)勒索受害者而廣為人知。當(dāng)Maze最近還添加了Ragnar Locker勒索軟件攻擊的受害者的數(shù)據(jù)，并注明“Ragnar提供的Maze Cartel”。

雖然7月的Maz攻擊并未完全復(fù)制Ragnar Locker的技術(shù)，但Mackenzie表示，這兩個(gè)勒索軟件團(tuán)伙可能正在合作。

他說(shuō)：“在7月攻擊發(fā)生時(shí)，‘Maze Cartel’已經(jīng)包括Ragnar Locker和LockBit勒索軟件背后的團(tuán)伙。此外，由于非常多潛在目標(biāo)，Maze基本上是外包工作。這表明這些類型的團(tuán)體的發(fā)展非常像合法企業(yè)，并且正在擴(kuò)大以滿足需求。他們可能還在共享戰(zhàn)術(shù)、技術(shù)和流程，整個(gè)‘Maze Cartel’也將從中受益。”

盡管最近幾個(gè)月Maze Cartel顯然有所增長(zhǎng)，但尚不清楚其中包含哪些團(tuán)伙。根據(jù)Bleeping Computer上個(gè)月的報(bào)告顯示，SunCrypt勒索軟件的操作者聲稱正在與Maze合作，并與該團(tuán)伙進(jìn)行雙向通信。當(dāng)SearchSecurity向Maze操作者詢問(wèn)時(shí)，他們否認(rèn)與SunCrypt的任何聯(lián)系。

Maze通過(guò)電子郵件稱：“SunCrypt是白癡，他們與我們的所有相似之處僅在于業(yè)務(wù)類型。他們的做法很低級(jí)，我們永遠(yuǎn)不會(huì)把他們納入我們的品牌旗下。”