Ransomware Maze adopta el enfoque de máquina virtual de Ragnar Locker

Los operadores del ransomware Maze han especializado su técnica de ataque, ahora distribuyen cargas útiles de ransomware a través de máquinas virtuales (VM). Es un enfoque «radical», según  investigadores, destinado a ayudar al ransomware a sortear la defensa del endpoint. Eso es según los investigadores de Sophos Managed Threat Response (MTR), quienes dijeron que los actores […]

Los operadores del ransomware Maze han especializado su técnica de ataque, ahora distribuyen cargas útiles de ransomware a través de máquinas virtuales (VM). Es un enfoque «radical», según  investigadores, destinado a ayudar al ransomware a sortear la defensa del endpoint.

Eso es según los investigadores de Sophos Managed Threat Response (MTR), quienes dijeron que los actores de amenazas fueron vistos recientemente distribuyendo el malware en forma de una imagen de disco virtual VirtualBox (un archivo VDI). El archivo VDI en sí se entregó dentro de un archivo MSI de Windows, que es un formato utilizado para la instalación, almacenamiento y eliminación de programas.

Para configurar la VM en el objetivo, “los atacantes también empaquetaron una copia simplificada de 11 años del hipervisor VirtualBox dentro del archivo .MSI, que ejecuta la VM como un dispositivo ‘sin cabeza’, sin usuario «frente a la interfaz», indicaron los investigadores.

El ataque

Sophos investigó un ataque de Maze que tuvo lugar en julio de este año en el que los delincuentes de ransomware habían penetrado en la red de una víctima seis días antes de intentar ejecutar la carga útil de cifrado de archivos.

La pandilla Maze trazó un mapa de la red objetivo a través de un controlador de dominio y logró exfiltrar datos al proveedor de almacenamiento en la nube Mega.nz y exigió un rescate de US $ 15 millones (A $ 20,5 millones).

Sin embargo, el rescate no se pagó y dos intentos de Maze para ejecutar el ransomware fueron puestos en cuarentena y fallaron, dijeron los investigadores de Sophos .

Tomando prestada una técnica de los criminales anteriores de Ragnar Locker, Maze colocó su carga útil de ransomware dentro de una máquina virtual Oracle VirtualBox para ocultarla de la detección.

El archivo de instalación .msi que Maze usó pesa 733 megabytes ya que usa Windows 7, en comparación con solo 122 MB para la configuración de entrega de malware basada en Windows XP de Ragnar Locker.

Ampliada, la máquina virtual que usaba Maze tenía un tamaño de 1,9 gigabytes y contenía un ejecutable de ransomware de 494 KB.

A pesar del elaborado subterfugio empleado por Maze, el ataque de ransomware basado en máquinas virtuales fue detectado y falló.