VM被勒索軟體團夥重視

根據sophos的最新研究顯示，maze勒索軟體背後的攻擊者採用ragnar locker勒索軟體團夥的做法，利用虛擬機器來逃避檢測。

該安全**商最先觀察到這種攻擊手段，攻擊者早在5月就開始將勒索軟體有效負載分布在虛擬機器內。與ragnar locker勒索軟體團夥相關的攻擊者將惡意**隱藏在windows xp vm中，這使勒索軟體可以肆意執行，而不會被端點的安全軟體檢測到或阻止。

在今年7月，sophos發現，maze勒索軟體使用類似方法對一家未具名組織進行攻擊。調查顯示，攻擊者不斷試圖用勒索軟體感染計算機，同時索要1500萬美元的贖金，但該組織最終沒有支付。他們最開始使用勒索軟體感染系統沒有成功，直到第三次嘗試才成功，攻擊者使用ragnar locker的vm技術的增強版本。該方法可幫助攻擊者進一步逃避端點安全產品的檢測。

sophos公司首席研究員andrew brandt和事件響應經理peter mackenzie在部落格中寫道：「很顯然，虛擬機器已經由了解受害者網路的人預先配置，因為虛擬機器的配置檔案(」micro.xml」)映**兩個驅動器號，這些驅動器號在該組織中用作共享網路驅動器，大概是這樣，它可以對這些共享驅動器以及本地計算機上的檔案進行加密。它還在c\sdrsmlink \中建立了乙個資料夾，並與網路的其餘部分共享該資料夾。」

sophos的調查還顯示，攻擊者在提供勒索軟體有效載荷前，至少提前六天就已滲透到網路中。

儘管maze勒索軟體攻擊類似於ragnar locker的攻擊，但並不完全相同。例如，maze攻擊者使用的是虛擬windows 7機器，而不是windows xp。

mackenzie在給searchsecurity的電子郵件中指出：「實際上，maze使用的檔案要大得多。這是由於他們的虛擬機器是windows 7，而不是ragnar locker使用的windows xp。但是，這種大小的增加還包括其他好處，最大的好處是maze更改了方法，使其可更容易和更快更改攻擊中使用的勒索軟體有效負載檔案。當檔案被阻止時，這將使他們能夠迅速適應。」

這並不是maze和ragnar locker勒索軟體團夥間的第乙個關聯點。今年6月，maze操作者宣布推出勒索軟體「cartel」，其中包含其他團夥，包括ragnar locker，其目的是共享資源並進一步勒索受害者支付贖金。maz通過在其洩漏站點上發布被盜資料來勒索受害者而廣為人知。當maze最近還新增了ragnar locker勒索軟體攻擊的受害者的資料，並註明「ragnar提供的maze cartel」。

雖然7月的maz攻擊並未完全複製ragnar locker的技術，但mackenzie表示，這兩個勒索軟體團夥可能正在合作。

他說：「在7月攻擊發生時，『maze cartel』已經包括ragnar locker和lockbit勒索軟體背後的團夥。此外，由於非常多潛在目標，maze基本上是外包工作。這表明這些型別的團體的發展非常像合法企業，並且正在擴大以滿足需求。他們可能還在共享戰術、技術和流程，整個『maze cartel』也將從中受益。」

儘管最近幾個月maze cartel顯然有所增長，但尚不清楚其中包含哪些團夥。根據bleeping computer上個月的報告顯示，suncrypt勒索軟體的操作者聲稱正在與maze合作，並與該團夥進行雙向通訊。當searchsecurity向maze操作者詢問時，他們否認與suncrypt的任何聯絡。

maze通過電子郵件稱：「suncrypt是白痴，他們與我們的所有相似之處僅在於業務型別。他們的做法很低階，我們永遠不會把他們納入我們的品牌旗下。」更多linux資訊請檢視：

VM被勒索軟體團夥重視

勒索軟體從未停止

勒索軟體從未停止

勒索軟體病毒分析

VM被勒索軟體團夥重視

勒索軟體從未停止

勒索軟體從未停止

勒索軟體病毒分析

相關推薦