Maze勒索软件团伙借助VM逃避检测
发布时间:2022-07-12 14:51:19 所属栏目:安全 来源:互联网
导读:根据Sophos的最新研究显示,Maze勒索软件背后的攻击者采用Ragnar Locker勒索软件团伙的做法,利用虚拟机来逃避检测。 该安全供应商最先观察到这种攻击手段,攻击者早在5月就开始将勒索软件有效负载分布在虚拟机内。与Ragnar Locker勒索软件团伙相关的攻击者
|
根据Sophos的最新研究显示,Maze勒索软件背后的攻击者采用Ragnar Locker勒索软件团伙的做法,利用虚拟机来逃避检测。 该安全供应商最先观察到这种攻击手段,攻击者早在5月就开始将勒索软件有效负载分布在虚拟机内。与Ragnar Locker勒索软件团伙相关的攻击者将恶意代码隐藏在Windows XP VM中,这使勒索软件可以肆意运行,而不会被端点的安全软件检测到或阻止。 Sophos公司首席研究员Andrew Brandt和事件响应经理Peter Mackenzie在博客中写道:“很显然,虚拟机已经由了解受害者网络的人预先配置,因为虚拟机的配置文件(”micro.xml”)映射了两个驱动器号,这些驱动器号在该组织中用作共享网络驱动器,大概是这样,它可以对这些共享驱动器以及本地计算机上的文件进行加密。它还在CSDRSMLINK 中创建了一个文件夹,并与网络的其余部分共享该文件夹。” Sophos的调查还显示,攻击者在提供勒索软件有效载荷前,至少提前六天就已渗透到网络中。 虽然7月的Maz攻击并未完全复制Ragnar Locker的技术,但Mackenzie表示,这两个勒索软件团伙可能正在合作。 他说:“在7月攻击发生时,‘Maze Cartel’已经包括Ragnar Locker和LockBit勒索软件背后的团伙。此外,由于非常多潜在目标,Maze基本上是外包工作。这表明这些类型的团体的发展非常像合法企业,并且正在扩大以满足需求。他们可能还在共享战术、技术和流程,整个‘Maze Cartel’也将从中受益。” 尽管最近几个月Maze Cartel显然有所增长,但尚不清楚其中包含哪些团伙。根据Bleeping Computer上个月的报告显示,SunCrypt勒索软件的操作者声称正在与Maze合作,并与该团伙进行双向通信。当SearchSecurity向Maze操作者询问时,他们否认与SunCrypt的任何联系。 Maze通过电子邮件称:“SunCrypt是白痴,他们与我们的所有相似之处仅在于业务类型。他们的做法很低级,我们永远不会把他们纳入我们的品牌旗下。” (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号