اپراتورهای باجافزار Maze، تاکتیکی را که قبلاً باند Ragnar Locker استفاده کرده بود در پیش گرفتهاند تا کامپیوترها را از داخل ماشین مجازی رمزگذاری کنند.
منبع : مرکز مدیریت راهبردی افتا
اپراتورهای باجافزار Maze، تاکتیکی را که قبلاً باند Ragnar Locker استفاده کرده بود در پیش گرفتهاند تا کامپیوترها را از داخل ماشین مجازی رمزگذاری کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ماه می گزارشی منتشر شد که Ragnar Locker در حال رمزگذاری فایلها از طریق ماشینهای مجازی VirtualBox Windows XP برای دور زدن نرمافزار امنیتی در سیستم میزبان هستند.
ماشین مجازی درایوهای میزبان را به صورت اشتراک از راه دور نصب میکند و سپس برنامه باجافزار را در ماشین مجازی اجرا میکند تا فایلهای «اشتراک گذاری» را رمزگذاری کند. از آنجا که ماشین مجازی از هیچ نرمافزار امنیتی استفاده نمیکند و درایوهای میزبان را نصب میکند، نرمافزار امنیتی میزبان نمیتواند بدافزار را شناسایی کرده و آن را مسدود کند.
هنگامی که Sophos به طور اتفاقی در حال ایجاد پاسخ برای میزبانهای خود بود، متوجه شد که Maze دو بار سعی کرده است باجافزار خود را مستقر کند که توسط ویژگی Intercept X Sophos مسدود شد.
در دو حمله اول، مهاجم Maze سعی در راهاندازی انواع مختلف باجافزار با استفاده از فرمانهای برنامهریزی شده به نام Windows Update Security یا Windows Update Security Patches یا Google Chrome Security Update داشت. در سومین حمله، Maze یک فایل MSI مستقر کرد که نرمافزار VirtualBox VM را به همراه یک ماشین مجازی سفارشی ویندوز ۷ بر روی سرور نصب کرد.
هنگامی که ماشین مجازی شروع به کار کرد، مانند حملات قبلی Ragnar Locker، یک وصله فایل به نام startup_vrun.bat batch file اجرا کرد که دستگاه را با اجراکنندههای Maze از قبل آماده کند. سپس دستگاه خاموش شده و پس از راه اندازی مجدد، vrun.exe را برای رمزگذاری فایلهای میزبان راهاندازی میکند.
از آنجا که ماشین مجازی در حال انجام رمزگذاری بر روی درایوهای نصب شده میزبان است، نرمافزار امنیتی نمیتواند رفتار را تشخیص داده و آن را متوقف کند.
محققان SophosLabs خاطرنشان کردند که این یک روش حمله پرهزینه از نظر اندازه دیسک در مقایسه با حملات قبلی Ranger Locker است. در حمله VRagnar Locker's VM به ویندوز XP حجم کل footprint فقط ۴۰۴ مگابایت بود. در حالی که، Maze با استفاده از ویندوز ۷، footprint موجود در مجموع ۲,۶ گیگابایت بسیار بزرگتر بود.
این حمله نشان میدهد که چگونه عملیات باج افزار تاکتیکهای رقبای خود را رصد میکند و در صورت لزوم آنها را اتخاذ میکند. همچنین لازم به ذکر است که Ragnar Locker بخشی از Maze Cartel است، بنابراین ممکن است Ragnar در این روش حمله به Maze کمک کرده باشد.