Maze ransomware ใช้วิธีเดียวกับ Ragnar Locker เลี่ยงการตรวจจับ

30 กันยายน 2020

NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

รายงานล่าสุดของนักวิจัยจากบริษัทผู้เชี่ยวชาญด้านซอฟท์แวร์และฮาร์ดแวร์ความปลอดภัย SophosLabs พบ Maze ransomware หนึ่งใน Ransomware ที่โจมตีทั่วโลก ได้ปรับเปลี่ยนวิธีการเข้าโจมตีเพื่อเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยโดยนำเทคนิคของ Ragnar Locker ที่ใช้วิธีการในเข้ารหัสไฟล์ผ่านทาง Window XP เสมือน (VirtualBox Windows XP virtual machines) เพื่อทำการหลบเลี่ยงการตรวจจับของ Security Software

วิธีการ Ragnar Locker ในการเข้ารหัสนั้น จะใช้วิธีการเปิดการใช้งาน Virtual Machine และดึง drives ต่าง ๆ บนเครื่องเป้าหมายเข้ามาภายใน Virtual Machine ให้เป็นเสมือน Drives Share อยู่ภายใน และดำเนินการเข้ารหัสไฟล์ต่าง ๆ ภายใน Virtual Machine ซึ่งนี้เองที่ทำให้ security software จะไม่สามารถตรวจพบความผิดปกติต่างๆได้

เหตุการณ์ Incident Response ที่ Sophos ตรวจพบนี้เป็นเหตุการณ์ที่เกิดขึ้นกับลูกค้ารายหนึ่ง ซึ่งทาง Sophos ตรวจพบว่าเป็น Incident Response ที่เกิดจาก Maze ransomware พยายามเข้ารหัสไฟล์ในเครื่องแต่สามารถถูกยับยั้งด้วย Software ของ Sophos โดยใน 2 ครั้งแรก Maze ransomware พยายามสั่งการให้ Ransomware เข้ารหัสไฟล์โดยการใช้ scheduled tasks ในชื่อ Windows Update Security หรือ Windows Update Security Patchesหรือ Google Chrome Security Update แต่ไม่สำเร็จ

หลังจากนั้น Maze ransomware จึงเปลี่ยนไปใช้วิธีการเดียวกับ Ragnar Locker โดยการวาง MSI file เพื่อติดตั้ง VirtualBox VM software บนเครื่อง Server เป้าหมายพร้อมกับสั่งให้ Window 7 ที่มีปรับแต่งมาเป็นพิเศษทำงาน และเมื่อ VirtualBox VM เริ่มทำงานจะทำการเรียกใช้งานไฟล์ startup_vrun.bat

1.1 Script startup_vrun.bat

ภาพจาก https://www.terabitweb.com/2020/09/17/maze-ransomware-vm-html/

ตัวเครื่อง VM จะทำการ Restart ตัวเองและหลังจากเครื่อง Restart เสร็จแล้ว Process อย่าง vrun.exe จะเริ่มทำงานเพื่อเข้ารหัสไฟล์ จากหลักฐานที่ทาง Sophos ตรวจพบขนาดของไฟล์ VM มีขนาดเพียง 2.6 Gb จากการโจมตีในครั้งนี้นักวิจัยฯ SophosLabs เชื่อว่า Ragnar Locker จะมีส่วนช่วย Maze ransomware เพื่อร่วมมือกันเข้ารหัสล็อกไฟล์ข้อมูลเหยื่อ

ที่มา: https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

ปรึกษาเรา

บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว

พบ Backdoor ในไลบรารี่ XZ Utils อาจส่งผลกระทบต่อ Distros Linux
3 เมษายน 2024

Red Hat ตรวจพบไลบรารี xz ของ Linux ถูกฝังโค้ดอันตรายเพื่อเปิดทางให้เข้ายึดระบบจากระยะไกลได้ โดยพบว่าช่องโหว่นี้กระทบ Distros Linux กับเวอร์ชัน 5.6.0 และ 5.6.1
โดย NT cyfence
อ่านต่อ
IT 360º ไอที ง่ายๆ รอบๆ ตัว

พบการโจมตี Loop DoS รูปแบบใหม่ อาจส่งผลกระทบต่อระบบออนไลน์กว่า 300,000 ระบบ
2 เมษายน 2024

พบการโจมตี Loop DoS แบบใหม่ที่ใช้ User Datagram Protocol (UDP) ส่งผลกระทบต่อโฮสต์และระบบเครือข่ายประมาณ 300,000 ระบบ ซึ่งมีผู้ให้บริการด้านระบบเครือข่ายรายใหญ่หลายราย ได้รับผลกระทบ
โดย NT cyfence
อ่านต่อ
IT 360º ไอที ง่ายๆ รอบๆ ตัว

กองทุนการเงินระหว่างประเทศ (IMF) ถูกแฮก Email กว่า 11 บัญชี
19 มีนาคม 2024

กองทุนการเงินระหว่างประเทศ (International Monetary Fund: IMF) ได้เปิดเผยว่าเกิดเหตุการณ์แฮกบัญชีอีเมลกว่า 11 บัญชี จากการถูกโจมตีทางไซเบอร์เมื่อช่วงต้น 8 มีนาคม 2567 ที่ผ่านมา
โดย NT cyfence
อ่านต่อ

Maze ransomware ใช้วิธีเดียวกับ Ragnar Locker เลี่ยงการตรวจจับ

บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน)

หน้าแรก

กลุ่มบริการ

คลังความรู้ไอที

Why us