Maze kopierer Ragnar Locker

Atter ses ransomwaregrupperinger kopiere hinandens teknikker.

Gruppen bag Maze ransomware er nu begyndt at bruge en virtuel maskine til at kryptere computere, hvilket er den samme teknik, som gruppen bag Ragnar Locker-malware bruger. Det skriver Security Affairs.

Formålet med at bruge en virtuel maskine til at kryptere computere er at undgå at blive afsløret. Ragnar Lockar-gruppen var den første til at bruge denne teknik tilbage i maj. Her brugte de Windows XP-virtuelle maskiner til at kryptere offerets filer i tilknytning til omgåelse af sikkerhedsforanstaltninger.

Skjult bag virtuelle maskiner

Malware udnytter en VirtualBox-funktion, der giver værtsoperativsystemet mulighed for at dele mapper og drev som en netværksdeling i en virtuel maskine. Den virtuelle maskine installerer så en delt sti som et netværksdrev fra den virtuelle computer for at få adgang til dens indhold.

Den virtuelle maskine kører derefter ransomware, men da sikkerhedssoftwaren, der kører på ofrets værtsmaskine, ikke opdager ransomwaren eller anden aktivitet på den virtuelle maskine, fortsætter den med at køre uden at opdage, at værtsmaskinens filer nu krypteres.

I denne konkrete sag har sikkerhedsanalytikere opdaget angrebet, da Maze-operatørerne forsøgte at starte forskellige ransomware-eksekverbare filer ved hjælp af opgaver med navnet 'Windows Update Security' eller 'Windows Update Security Patches' eller 'Google Chrome Security Update.'

Links:

https://securityaffairs.co/wordpress/108420/malware/maze-ransomware-vm.html

https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/