Connect with us

Technologie

Maze ransomware emprunte Ragnar Locker tactiques pour se faufiler défenses passées

Published

on


Prenant un conseil de leurs pairs, les opérateurs cybercriminels du ransomware Maze semblent avoir commencé à distribuer des charges utiles ransomware à l’intérieur du disque dur virtuel d’une machine virtuelle malveillante (VM), selon les analystes de Sophos’ Managed Threat Response unité.

Cette technique a été lancée par le groupe derrière Ragnar Locker plus tôt en 2020 – Ragnar Locker étant l’un d’un certain nombre de groupes ransomware à s’être réunis avec Maze pour former une opération cartel-like.

Maintenant, avec quelques réglages, la technique est en cours d’intégration dans le livre de jeu de Maze ainsi, selon Sophos chercheur principal Andrew Brandt et chef de l’équipe d’intervention en cas d’incident Peter Mackenzie, qui ont été l’analyser.

Au cours de leur enquête sur un incident à un client anonyme Sophos, Brandt et Mackenzie a constaté que le gang Maze avait effectivement pénétré le réseau cible quelques jours auparavant et avait tenté à deux reprises de télécharger leur charge utile ransomware et a exigé une rançon de 15 millions de dollars, qui n’a pas été payé.

Cependant, ces tentatives ont toutes deux été contrecarrées par les outils Sophos existants qui étaient présents, alors ils ont décidé d’essayer la technique empruntée Ragnar Locker à la place. Cela a été repéré et arrêté parce que l’équipe Sophos qui a répondu à elle était la même équipe qui a répondu à l’attaque Ragnar Locker dans lequel la technique a été vue pour la première fois.

Dans l’attaque précédente, le ransomware Ragnar Locker a été déployé dans un Oracle VirtualBox Windows XP VM. Le gang Maze a adopté une approche légèrement adaptée, en utilisant une machine Windows 7, pas un XP, qui a augmenté la taille du disque virtuel de manière assez significative et a ajouté de nouvelles fonctionnalités qui n’étaient pas disponibles pour le groupe Ragnar Locker.

Cependant, les fondements de l’attaque se sont avérés identiques. La charge utile Maze a de nouveau été contenue dans un fichier VirtualBox .vdi et livrée via un fichier d’installation Windows .msi. Inclus dans le fichier .msi était une copie vieille de dix ans de l’hyperviseur VirtualBox qui a couru le VM et était un soi-disant « sans tête » dispositif, sans une interface orientée utilisateur.

« La chaîne d’attaque découverte par les intervenants de Sophos souligne l’agilité des adversaires humains et leur capacité à remplacer et à reconfigurer rapidement les outils et à retourner sur le ring pour une autre ronde », a déclaré Mackenzie.

« ‘utilisation d’une technique bruyante Ragnar Locker machine virtuelle, avec sa grande empreinte et l’utilisation du processeur, pourrait refléter une frustration croissante de la part des attaquants après leurs deux premières tentatives de chiffrer les données ont échoué. »

Brandt et Mackenzie ont déclaré que les acteurs de la menace Maze s’avéraient de plus en plus habiles à adopter des techniques qui ont déjà été couronnées de succès par d’autres groupes, y compris l’utilisation de l’extorsion pour extraire le paiement des victimes.

« Omme les produits de protection des points de terminaison améliorent leurs capacités à se défendre contre ransomware, les attaquants sont obligés de dépenser plus d’efforts pour faire une fin de course autour de ces protection », ont-ils dit.

Plus de détails techniques de la nouvelle technique Maze sont disponibles chez Sophos, et des indicateurs de compromis sont disponibles via GitHub.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending