รายงานล่าสุดของนักวิจัยจากบริษัทผู้เชี่ยวชาญด้านซอฟท์แวร์และฮาร์ดแวร์ความปลอดภัย SophosLabs พบ  Maze ransomware หนึ่งใน Ransomware ที่โจมตีทั่วโลก ได้ปรับเปลี่ยนวิธีการเข้าโจมตีเพื่อเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยโดยนำเทคนิคของ Ragnar Locker ที่ใช้วิธีการในเข้ารหัสไฟล์ผ่านทาง Window XP เสมือน (VirtualBox Windows XP virtual machines) เพื่อทำการหลบเลี่ยงการตรวจจับของ Security Software

วิธีการ Ragnar Locker ในการเข้ารหัสนั้น จะใช้วิธีการเปิดการใช้งาน Virtual Machine และดึง drives ต่าง ๆ บนเครื่องเป้าหมายเข้ามาภายใน Virtual Machine ให้เป็นเสมือน Drives Share อยู่ภายใน และดำเนินการเข้ารหัสไฟล์ต่าง ๆ ภายใน Virtual Machine ซึ่งนี้เองที่ทำให้ security software จะไม่สามารถตรวจพบความผิดปกติต่างๆได้

เหตุการณ์ Incident Response ที่ Sophos ตรวจพบนี้เป็นเหตุการณ์ที่เกิดขึ้นกับลูกค้ารายหนึ่ง ซึ่งทาง Sophos ตรวจพบว่าเป็น Incident Response ที่เกิดจาก Maze ransomware พยายามเข้ารหัสไฟล์ในเครื่องแต่สามารถถูกยับยั้งด้วย Software ของ Sophos โดยใน 2 ครั้งแรก Maze ransomware พยายามสั่งการให้ Ransomware เข้ารหัสไฟล์โดยการใช้ scheduled tasks ในชื่อ Windows Update Security หรือ  Windows Update Security Patchesหรือ Google Chrome Security Update แต่ไม่สำเร็จ

หลังจากนั้น Maze ransomware จึงเปลี่ยนไปใช้วิธีการเดียวกับ Ragnar Locker  โดยการวาง MSI file เพื่อติดตั้ง VirtualBox VM software บนเครื่อง Server เป้าหมายพร้อมกับสั่งให้ Window 7 ที่มีปรับแต่งมาเป็นพิเศษทำงาน และเมื่อ VirtualBox VM เริ่มทำงานจะทำการเรียกใช้งานไฟล์ startup_vrun.bat

1.1 Script startup_vrun.bat

ภาพจาก https://www.terabitweb.com/2020/09/17/maze-ransomware-vm-html/

ตัวเครื่อง VM จะทำการ Restart ตัวเองและหลังจากเครื่อง Restart เสร็จแล้ว Process อย่าง vrun.exe จะเริ่มทำงานเพื่อเข้ารหัสไฟล์ จากหลักฐานที่ทาง Sophos ตรวจพบขนาดของไฟล์ VM มีขนาดเพียง 2.6 Gb จากการโจมตีในครั้งนี้นักวิจัยฯ  SophosLabs เชื่อว่า  Ragnar Locker จะมีส่วนช่วย Maze ransomware เพื่อร่วมมือกันเข้ารหัสล็อกไฟล์ข้อมูลเหยื่อ

ที่มา:  https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/