Киберпреступники из группировки Maze применяют тактику, ранее использовавшуюся группой Ragnar Locker – шифрование через виртуальные машины для избегания обнаружения.
Ранее хакерская группа Ragnar Locker была замечена в шифровании файлов через виртуальные машины VirtualBox Windows XP в целях обхода антивирусов и программ обеспечения безопасности на хосте.
ИБ-специалисты из компании Sophos обнаружили, что киберпреступники из Maze дважды пытались развернуть вымогательское ПО на устройствах одного из клиентов Sophos, но попытки были заблокированы функционалом инструмента Intercept X.
В первых двух попытках злоумышленники из Maze старались запустить разные исполняемые файлы вымогательского ПО, используя запланированные задачи под названиями:
- «Безопасность Центра обновления Windows».
- «Патчи безопасности Центра обновления Windows».
- «Обновление безопасности Google Chrome».
После двух неудавшихся атак Питер Маккензи, специалист по информационной безопасности Sophos, сообщил, что киберпреступники из Maze использовали тактику, ранее применявшуюся программой-вымогателем Ragnar Locker.
В своей третьей кибератаке хакеры из Maze развернули файл MSI, который установил ПО VirtualBox VM на сервере вместе с настроенной виртуальной машиной Windows 7. После запуска виртуальной машины, как и при предыдущих атаках злоумышленников из Ragnar Locker, запускается командный файл с именем startup_vrun.bat, который подготавливает виртуалку с исполняемыми файлами Maze:
Затем атакуемое устройство выключается, а после перезагрузки запускается vrun.exe для шифрования файлов хоста. Поскольку виртуальная машина выполняет шифрование на подключенных дисках хоста, программное обеспечение безопасности не может обнаружить это нежелательное поведение и остановить его.
Поскольку для атаки виртуальной машины хакеры из Ragnar Locker использовали Windows XP, общий размер был всего 404 МБ. А хакеры из Maze использовали Windows 7, поэтому занимаемый размер был намного больше и составлял 2,6 ГБ. Эта кибератака показывает, что киберпреступники отслеживают тактику своих конкурентов и при необходимости применяют ее.
Также следует отметить, что группа Ragnar Locker является частью картеля Maze Ransomware, поэтому возможно, что хакеры предложил помощь Maze в этом методе кибератаки.
