Inicio Tecnología Maze ransomware toma prestadas las tácticas de Ragnar Locker para escabullirse de...

Maze ransomware toma prestadas las tácticas de Ragnar Locker para escabullirse de las defensas

Siguiendo un consejo de sus compañeros, los operadores de ciberdelincuentes del ransomware Maze parecen haber comenzado a distribuir cargas útiles de ransomware dentro del disco duro virtual de una máquina virtual maliciosa (VM), según los analistas de la unidad de respuesta a amenazas administradas de Sophos.

Esta técnica fue promovido por el grupo detrás de Ragnar Locker a principios de 2020: Ragnar Locker es uno de los grupos de ransomware que se han unido a Maze para formar una operación similar a un cartel.

Ahora, con algunos ajustes, la técnica también se está incorporando al libro de jugadas de Maze, según el investigador principal de Sophos, Andrew Brandt, y el líder del equipo de respuesta a incidentes, Peter Mackenzie, que lo han estado analizando.

Durante su investigación sobre un incidente en un cliente de Sophos no identificado, Brandt y Mackenzie descubrieron que la pandilla Maze había penetrado en la red objetivo unos días antes y había intentado dos veces cargar su carga útil de ransomware y exigió un rescate de $ 15 millones, que no era pagado.

Sin embargo, estos intentos se vieron frustrados por las herramientas de Sophos existentes que estaban presentes, por lo que decidieron probar la técnica de Ragnar Locker prestada. Esto fue detectado y detenido porque el equipo de Sophos que respondió fue el mismo equipo que respondió al ataque de Ragnar Locker en el que se vio por primera vez la técnica.

Deberías leer:   Lanzamiento de OnePlus Nord con Snapdragon 765G SoC, hasta 12 GB de RAM: precio en India, especificaciones

En el ataque anterior, el ransomware Ragnar Locker se implementó en una máquina virtual Oracle VirtualBox Windows XP. La banda Maze adoptó un enfoque ligeramente adaptado, utilizando una máquina con Windows 7, no una XP, lo que aumentó el tamaño del disco virtual de manera significativa y agregó nuevas funciones que no estaban disponibles para el grupo Ragnar Locker.

Deberías leer:   Red de investigación para IA ética lanzada en el Reino Unido

Sin embargo, se encontró que los fundamentos del ataque eran idénticos. La carga útil de Maze estaba nuevamente contenida en un archivo .vdi de VirtualBox y entregada a través de un archivo de instalación .msi de Windows. Incluido dentro del archivo .msi había una copia de hace una década del hipervisor VirtualBox que ejecutaba la VM y era un dispositivo llamado “sin cabeza”, sin una interfaz de cara al usuario.

La cadena de ataque descubierta por los respondedores de amenazas de Sophos destaca la agilidad de los adversarios humanos y su capacidad para sustituir y reconfigurar herramientas rápidamente y regresar al ring para otra ronda ”, dijo Mackenzie.

Deberías leer:   Realme Narzo 10A saldrá a la venta hoy a través de Flipkart, Realme.com: precio en India, ofertas

“El uso de una técnica de máquina virtual ruidosa de Ragnar Locker, con su gran huella y uso de CPU, podría reflejar una creciente frustración por parte de los atacantes después de que fallaron sus dos primeros intentos de cifrar datos”.

Brandt y Mackenzie dijeron que los actores de amenazas de Maze estaban demostrando ser cada vez más hábiles en la adopción de técnicas que ya han sido probadas con éxito por otros grupos, incluido el uso de la extorsión para obtener el pago de las víctimas.

“A medida que los productos de protección para endpoints mejoran su capacidad para defenderse del ransomware, los atacantes se ven obligados a realizar un mayor esfuerzo para evitar esas protecciones”, dijeron.

Más detalles técnicos de la nueva técnica Maze está disponible en Sophos, e indicadores de compromiso están disponibles a través de GitHub.

Pilar Benegas
Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.

Most Popular

Guía de desafío de la semana 9 de la temporada 4 de Fortnite: dónde aterrizar en Sharky Shell

Uno de los más complicados de esta semana Fortnite desafíos es aterrizar en una nueva y misteriosa ubicación llamada Sharky Shell y terminar...

Christina Anstead elige “encontrar la paz” después de la separación de Ant Anstead

Christina Anstead está tratando de encontrar la calma en la tormenta del dolor. Más de un mes después de anunciar su separación de su...

NorCal enfrenta clima de incendios mientras SoCal llovizna

Después de meses de incendios forestales y un calor récord, los angelinos se despertaron el jueves con algo novedoso: una llovizna ligera.El Servicio Meteorológico...