VM被勒索軟體團夥重視

2021-10-09 18:43:15 字數 1742 閱讀 7856

根據sophos的最新研究顯示,maze勒索軟體背後的攻擊者採用ragnar locker勒索軟體團夥的做法,利用虛擬機器來逃避檢測。

該安全**商最先觀察到這種攻擊手段,攻擊者早在5月就開始將勒索軟體有效負載分布在虛擬機器內。與ragnar locker勒索軟體團夥相關的攻擊者將惡意**隱藏在windows xp vm中,這使勒索軟體可以肆意執行,而不會被端點的安全軟體檢測到或阻止。

在今年7月,sophos發現,maze勒索軟體使用類似方法對一家未具名組織進行攻擊。調查顯示,攻擊者不斷試圖用勒索軟體感染計算機,同時索要1500萬美元的贖金,但該組織最終沒有支付。他們最開始使用勒索軟體感染系統沒有成功,直到第三次嘗試才成功,攻擊者使用ragnar locker的vm技術的增強版本。該方法可幫助攻擊者進一步逃避端點安全產品的檢測。

sophos公司首席研究員andrew brandt和事件響應經理peter mackenzie在部落格中寫道:「很顯然,虛擬機器已經由了解受害者網路的人預先配置,因為虛擬機器的配置檔案(」micro.xml」)映**兩個驅動器號,這些驅動器號在該組織中用作共享網路驅動器,大概是這樣,它可以對這些共享驅動器以及本地計算機上的檔案進行加密。它還在c\sdrsmlink \中建立了乙個資料夾,並與網路的其餘部分共享該資料夾。」

sophos的調查還顯示,攻擊者在提供勒索軟體有效載荷前,至少提前六天就已滲透到網路中。

儘管maze勒索軟體攻擊類似於ragnar locker的攻擊,但並不完全相同。例如,maze攻擊者使用的是虛擬windows 7機器,而不是windows xp。

mackenzie在給searchsecurity的電子郵件中指出:「實際上,maze使用的檔案要大得多。這是由於他們的虛擬機器是windows 7,而不是ragnar locker使用的windows xp。但是,這種大小的增加還包括其他好處,最大的好處是maze更改了方法,使其可更容易和更快更改攻擊中使用的勒索軟體有效負載檔案。當檔案被阻止時,這將使他們能夠迅速適應。」

這並不是maze和ragnar locker勒索軟體團夥間的第乙個關聯點。今年6月,maze操作者宣布推出勒索軟體「cartel」,其中包含其他團夥,包括ragnar locker,其目的是共享資源並進一步勒索受害者支付贖金。maz通過在其洩漏站點上發布被盜資料來勒索受害者而廣為人知。當maze最近還新增了ragnar locker勒索軟體攻擊的受害者的資料,並註明「ragnar提供的maze cartel」。

雖然7月的maz攻擊並未完全複製ragnar locker的技術,但mackenzie表示,這兩個勒索軟體團夥可能正在合作。

他說:「在7月攻擊發生時,『maze cartel』已經包括ragnar locker和lockbit勒索軟體背後的團夥。此外,由於非常多潛在目標,maze基本上是外包工作。這表明這些型別的團體的發展非常像合法企業,並且正在擴大以滿足需求。他們可能還在共享戰術、技術和流程,整個『maze cartel』也將從中受益。」

儘管最近幾個月maze cartel顯然有所增長,但尚不清楚其中包含哪些團夥。根據bleeping computer上個月的報告顯示,suncrypt勒索軟體的操作者聲稱正在與maze合作,並與該團夥進行雙向通訊。當searchsecurity向maze操作者詢問時,他們否認與suncrypt的任何聯絡。

maze通過電子郵件稱:「suncrypt是白痴,他們與我們的所有相似之處僅在於業務型別。他們的做法很低階,我們永遠不會把他們納入我們的品牌旗下。」更多linux資訊請檢視:

勒索軟體從未停止

隨著計算機技術發展,勒索軟體也在不斷演變。從早期的基於軟盤驅動器傳播的勒索軟體 aids 到常見的crytowall locky和teslacypt等的發展,勒索軟體的攻擊手段 傳播方式 勒索金支付手段等都在不斷的變化。隨著近來 想哭 wannacry 勒索軟體的爆發,勒索軟體快速的進入了大眾的視野...

勒索軟體從未停止

隨著計算機技術發展,勒索軟體也在不斷演變。從早期的基於軟盤驅動器傳播的勒索軟體 aids 到常見的crytowall locky和teslacypt等的發展,勒索軟體的攻擊手段 傳播方式 勒索金支付手段等都在不斷的變化。隨著近來 想哭 wannacry 勒索軟體的爆發,勒索軟體快速的進入了大眾的視野...

勒索軟體病毒分析

勒索軟體病毒分析報告 目錄 1.病毒樣本概況 2.樣本資訊 3.測試環境及工具 4.具體行為分析 5.小結 1.病毒樣本概況 2.樣本資訊 1.使用 hash 檢視樣本資訊 2.病毒主要行為 樣本執行後刪除了本身的檔案,拷貝了乙份隱藏檔案在c盤,將自身刪除,並將其隱藏為cmd啟動,不斷感染遍歷目錄感...