Siguiendo un consejo de sus compañeros, los operadores de ciberdelincuentes del ransomware Maze parecen haber comenzado a distribuir cargas útiles de ransomware dentro del disco duro virtual de una máquina virtual maliciosa (VM), según los analistas de la unidad de respuesta a amenazas administradas de Sophos.
Esta técnica fue promovido por el grupo detrás de Ragnar Locker a principios de 2020: Ragnar Locker es uno de los grupos de ransomware que se han unido a Maze para formar una operación similar a un cartel.
Ahora, con algunos ajustes, la técnica también se está incorporando al libro de jugadas de Maze, según el investigador principal de Sophos, Andrew Brandt, y el líder del equipo de respuesta a incidentes, Peter Mackenzie, que lo han estado analizando.
Durante su investigación sobre un incidente en un cliente de Sophos no identificado, Brandt y Mackenzie descubrieron que la pandilla Maze había penetrado en la red objetivo unos días antes y había intentado dos veces cargar su carga útil de ransomware y exigió un rescate de $ 15 millones, que no era pagado.
Sin embargo, estos intentos se vieron frustrados por las herramientas de Sophos existentes que estaban presentes, por lo que decidieron probar la técnica de Ragnar Locker prestada. Esto fue detectado y detenido porque el equipo de Sophos que respondió fue el mismo equipo que respondió al ataque de Ragnar Locker en el que se vio por primera vez la técnica.
En el ataque anterior, el ransomware Ragnar Locker se implementó en una máquina virtual Oracle VirtualBox Windows XP. La banda Maze adoptó un enfoque ligeramente adaptado, utilizando una máquina con Windows 7, no una XP, lo que aumentó el tamaño del disco virtual de manera significativa y agregó nuevas funciones que no estaban disponibles para el grupo Ragnar Locker.
Sin embargo, se encontró que los fundamentos del ataque eran idénticos. La carga útil de Maze estaba nuevamente contenida en un archivo .vdi de VirtualBox y entregada a través de un archivo de instalación .msi de Windows. Incluido dentro del archivo .msi había una copia de hace una década del hipervisor VirtualBox que ejecutaba la VM y era un dispositivo llamado «sin cabeza», sin una interfaz de cara al usuario.
«La cadena de ataque descubierta por los respondedores de amenazas de Sophos destaca la agilidad de los adversarios humanos y su capacidad para sustituir y reconfigurar herramientas rápidamente y regresar al ring para otra ronda ”, dijo Mackenzie.
«El uso de una técnica de máquina virtual ruidosa de Ragnar Locker, con su gran huella y uso de CPU, podría reflejar una creciente frustración por parte de los atacantes después de que fallaron sus dos primeros intentos de cifrar datos».
Brandt y Mackenzie dijeron que los actores de amenazas de Maze estaban demostrando ser cada vez más hábiles en la adopción de técnicas que ya han sido probadas con éxito por otros grupos, incluido el uso de la extorsión para obtener el pago de las víctimas.
“A medida que los productos de protección para endpoints mejoran su capacidad para defenderse del ransomware, los atacantes se ven obligados a realizar un mayor esfuerzo para evitar esas protecciones”, dijeron.
Más detalles técnicos de la nueva técnica Maze está disponible en Sophos, e indicadores de compromiso están disponibles a través de GitHub.