Pojawiło się ransomware, które korzysta ze specjalnej sztuczki w celu dostarczania złośliwego oprogramowania swoim ofiarom.

Maze czerpie z „najlepszych” wzorców

Grupa stojąca za ransomware Maze pożyczyła sobie od innego cybergangu całkiem skuteczną technikę utrudniającą wykrycie rozprzestrzeniania się złośliwego oprogramowania. A jest to jedna z najniebezpieczniejszych operacji ransomware w dzisiejszych czasach.

To, co czyni Maze tak niebezpiecznym, to fakt, że oprócz żądania sześciocyfrowej - lub większej - sumy bitcoinów w zamian za klucz odszyfrowywania, grożą opublikowaniem skradzionych danych wewnętrznych, jeśli ich żądania wymuszenia nie zostaną spełnione.

Grupa posiadła już rozbudowane umiejętności infiltracji sieci swoich ofiar, ale to nie wszystko. Teraz przyjęła nową taktykę, która jeszcze bardziej utrudnia ofiarom wykrycie, że w sieci znajdują się osoby z zewnątrz. Do dystrybucji ransomware wykorzystuje mianowicie maszyny wirtualne.

Odpatrzyli od Ragnar Locker

Podobną taktykę stosowała wcześniej grupa ransomware Ragnar Locker i wydaje się, że Maze czerpał właśnie od nich inspirację na ten dodatkowy sposób dostarczania ransomware. Badacze cyberbezpieczeństwa z Sophos przeanalizowali atak ransomware Maze w lipcu i odkryli podobieństwa między nową taktyką Maze a technikami stosowanymi pierwotnie przez Ragnara Lockera. Korzystając z dostępu do serwera plików, hakerzy byli w stanie dostarczyć pliki potrzebne do ataku i umieścić je na maszynie wirtualnej.

Sposób zaprogramowania tej maszyny wirtualnej sugeruje, że napastnicy już wówczas byli mocno osadzeni w sieci ofiary. Mimo to, dmuchali na zimne starając się ukryć swoją obecność. Miało temu służyć właśnie umieszczenie ransomware z wykorzystaniem maszyny wirtualnej. To miało utajnić całą operację aż do kulminacyjnego momentu rozpoczęcia szyfrowania wszystkich komputerów w sieci. Wówczas wystarczyłoby już tylko zażądać okupu za odszyfrowanie danych i zaniechanie ich publikacji.

Ransomware coraz wymyślniejsze

Peter McKenzie, menedżer reagowania na incydenty w Sophos, stwierdził, że:

Maszyna wirtualna daje atakującym do dyspozycji zupełnie niezabezpieczony komputer, na którym mogą oni swobodnie uruchamiać oprogramowanie ransomware - bez obawy o wykrycie.

Maze już teraz jest odnoszącą duże sukcesy grupą ransomware, ale sposób, w jaki dostosowała swoją taktykę pokazuje, że osoby za nią stojące nieustannie próbują znaleźć nowe sposoby, aby uczynić ataki jeszcze bardziej skutecznymi - a tym samym zarobić więcej pieniędzy na okupach.

McKenzie dodaje, że podobnie jak wiele innych gangów ransomware, które wykorzystują połączenie zaawansowanych narzędzi hakerskich i ludzkich technik, są oni zdeterminowani wypróbowywać różne techniki, dopóki albo nie odniosą sukcesu albo organizacja mająca być ofiarą nie wykryje zagrożenia i sobie z nim nie poradzi. Jego zdaniem: niestety, wiele organizacji nigdy nie miało do czynienia z zagrożeniami tego rodzaju i jest niedostatecznie przygotowanych do zidentyfikowania osoby atakującej w swojej sieci.

Przeciwdziałanie

Organizacje mogą sobie pomóc w ochronie przed atakami wdrażanymi w ten sposób, blokując użycie niepotrzebnych aplikacji na komputerach, tak aby atakujący nie mogli ich wykorzystać. Ważne jest też zapewnienie jak najszybszego zastosowania poprawek bezpieczeństwa, aby uniemożliwić hakerom wykorzystywanie znanych w celu uzyskania przyczółka w sieci. Ważne jest również, aby poszczególne firmy czy instytucje rozumiały swoją własną sieć i wiedziały, jak wygląda jej zwykłe zachowanie (ruch w sieci) a jakie jest zachowanie nietypowe. Chodzi o to aby służby IT mogły łatwiej wykryć podejrzewaną, złośliwą aktywność.