迷宫赎金制造器借用ragnar locker战术潜行过去的防御

根据Sophos的托管响应单元的分析师，迷宫赎金软件的网络刑事运营商令人迷人赎金软件的网络刑事运营商似乎已开始在恶意虚拟机（VM）的虚拟硬盘内的赎金软件有效载荷。

这项技术在2020年之前的ragnar储物柜后面的组是开创的 - ragnar储物柜是许多勒克斯瓶组中的一个，可以与迷宫一起聚集，形成类似卡特尔的操作。

现在，通过一些调整，该技术也被纳入迷宫的剧本，同时，根据Sophos Principal研究员Andrew Brandt和事件反应团队领导Peter Mackenzie，他们一直在分析它。

在他们的探讨期间，在一个未命名的Sophos客户，Brandt和Mackenie发现，迷宫帮派实际上几天已经渗透了目标网络，并两​​次尝试上传他们的赎金软件有效载荷，并要求1500万美元的赎金，这不是有薪酬的。

但是，这些尝试都会被存在的现有Sophos工具挫败，因此他们决定尝试借用的ragnar储物柜技术。这是发现并停止的，因为答复了它的Sophos团队是响应于首次看到该技术的ragnar储物柜攻击的团队。

在前一种攻击中，ragnar储物柜ransomware部署在Oracle VirtualBox Windows XP VM中。Maze Gang采用稍微适应的方法，使用Windows 7计算机，而不是XP One，这非常显着增加了虚拟磁盘的大小并添加了Ragnar储物柜组不可用的新功能。

然而，发现攻击的基本原理是相同的。迷宫有效载荷再次包含在VirtualBox .vdi文件中，并通过Windows .msi安装程序文件传递。包含在.msi文件中是虚拟邮箱虚拟机管理程序的十年历史副本，该副本运行了VM，并且是一个所谓的“无头”设备，没有面向用户的界面。

“由Sophos威胁响应者发现的攻击链突出了人体对手的灵活性以及他们快速替代和重新计算工具并返回另一轮戒指的能力，”麦肯齐说。“

“使用嘈杂的ragnar储物柜虚拟机技术，具有大量的占地面积和CPU使用量，可以在前两次尝试加密数据失败后反映攻击者的日益令人沮丧。”

Brandt和Mackenzie表示，迷宫威胁演员的证明越来越擅长采用其他群体已被证明的技术，包括使用敲诈勒索从受害者提取款项。

“随着端点保护产品提高他们的能力抵御赎金软件，攻击者被迫降低更多的努力，以便在这些保护中结束，”他们说。

新迷宫技术的更多技术细节可从Sophos获得，通过Github提供妥协指标。