Расстроенные тем, что их атаки были сорваны в течение нескольких дней, преступники-вымогатели Лабиринта прибегли к использованию виртуальной машины, чтобы обойти защиту конечных точек, сказал поставщик безопасности Sophos.
Sophos расследовала атаку Maze, которая произошла в июле этого года, когда преступники-вымогатели проникли в сеть жертвы за шесть дней до того, как попытались выполнить полезную нагрузку шифрования файлов.
Банда Лабиринта нанесла на карту целевую сеть через контроллер домена и преуспела в эксфильтрации данных поставщику облачных хранилищ Mega.nz и потребовал выкуп в размере 15 миллионов долларов (20,5 миллиона долларов).
Однако выкуп не был выплачен, и две попытки Maze выполнить программу-вымогателя были помещены в карантин и провалились, заявили исследователи Sophos.
Позаимствовав технику у более ранних преступников Ragnar Locker, Maze поместил свою полезную нагрузку вымогателей в виртуальную машину Oracle VirtualBox, чтобы скрыть ее от обнаружения.
Позаимствовав технику у более ранних преступников Ragnar Locker, Maze поместил свою полезную нагрузку вымогателей в виртуальную машину Oracle VirtualBox, чтобы скрыть ее от обнаружения.
Используемый Maze установочный файл .msi весит 733 мегабайта, поскольку он использует Windows 7, по сравнению с всего лишь 122 МБ для установки доставки вредоносных программ Ragnar Locker на базе Windows XP.
Расширенная, используемая виртуальная машина Maze имела размер 1,9 гигабайта и содержала 494 КБ исполняемого файла программы-вымогателя.
Несмотря на изощренную уловку, использованную Maze, атака вымогателей на основе виртуальных машин была обнаружена и провалилась.
