Maze ransomware ahora encripta a través de máquinas virtuales para evadir la detección

Los operadores del ransomware Maze han adoptado una táctica previamente utilizada por la banda Ragnar Locker; para cifrar una computadora desde una máquina virtual.

En mayo, informamos anteriormente que se vio a Ragnar Locker cifrando archivos a través de máquinas virtuales VirtualBox Windows XP para omitir el software de seguridad en el host.

La máquina virtual montará las unidades de un host como recursos compartidos remotos y luego ejecutará ransomware en la máquina virtual para cifrar los archivos del recurso compartido.

Dado que la máquina virtual no ejecuta ningún software de seguridad y monta las unidades del host, el software de seguridad del host no pudo detectar el malware y bloquearlo.

Maze ahora usa máquinas virtuales para encriptar computadoras

Mientras realiza una respuesta a incidentes para uno de sus clientes, Sophos lo ha descubierto Maze había intentado dos veces distribuir su propio ransomware, pero fue bloqueado por Funcionalidad de Sophos Intercept X.

En los dos primeros intentos, el atacante de Maze intentó ejecutar varios ejecutables de ransomware utilizando tareas programadas llamadas "Windows Update Security" o "Windows Update Security Patch" o "Google Chrome Security Update".

Después de los dos ataques fallidos, Peter Mackenzie de Sophos le dijo a BleepingComputer que los actores de la amenaza Maze probaron una táctica previamente utilizada por el ransomware Ragnar Locker.

En su tercer ataque, Maze implementó un archivo MSI que instaló el software VirtualBox VM en el servidor junto con una máquina virtual personalizada de Windows 7.

Una vez que se inicia la máquina virtual, al igual que los ataques anteriores de Ragnar Locker, un archivo por lotes llamado startup_vrun.bat ejecutaría un archivo por lotes que prepara la máquina con ejecutables de Maze.

Luego, la máquina se apaga y, una vez reiniciada, ejecutará vrun.exe para cifrar los archivos del host.

Debido a que la máquina virtual encripta las unidades montadas del host, el software de seguridad no pudo detectar el comportamiento y detenerlo.

Los investigadores de SophosLabs señalan que este es un método de ataque costoso en términos de tamaño de disco en comparación con los ataques anteriores de Ragnar Locker.

Dado que el ataque de la máquina virtual de Ragnar Locker utilizó Windows XP, la huella total fue de solo 404 MB. Dado que Maze estaba ejecutando Windows 7, la huella era mucho mayor con un total de 2.6GB.

Este ataque ilustra cómo las operaciones de ransomware monitorean las tácticas de la competencia y las adoptan si es necesario.

También se debe tener en cuenta que Ragnar Locker es parte del "Maze Cartel", por lo que es posible que Ragnar ofreciera ayuda a Maze en este método de ataque.