El ransomware Maze, encripta tu PC usando máquinas virtuales

Los ciberdelincuentes se han inspirado en la banda Ragnar Locker

En esta ocasión, los atacantes no han buscado una nueva fórmula de ataque, sino que se han basado en las de sus compañeros, en este caso en las de la banda Ragnar Locker. Han utilizado una máquina virtual para cifrar por completo los ordenadores y así poder pedir el típico rescate de los ransomware.

El ransomware de Ragnar Locker apareció el pasado mayo, cifrando a través de máquinas virtuales VirtualBox Windows XP para eludir el software de seguridad en el host final. Éste puede seguir ejecutando y cifrando los archivos porque el software de seguridad que se ejecuta en el host de la víctima no detecta el ejecutable del ransomware en la máquina virtual.

De esta manera, la víctima se da cuenta de que ha sido atacada una vez que ha finalizado el ciberataque. Entonces la persona perjudicada encontrará una nota de rescate personalizada que explica que su empresa ha sido atacada y sus archivos encriptados por completo.

Por otro lado, el ransomware Maze, fue descubierto por Shopos cuando vieron que el virus malicioso había intentado implementar su ransomware dos veces. La máquina virtual de Maze estaba ejecutando Windows 7. Además, los piratas informáticos se habían pasado días creando listas de direcciones IP dentro de la red del objetivo, utilizando uno de los servidores de controlador de dominio del objetivo.

Estos ataques del ransomware Maze empezaron con el uso de archivos por lotes e intentaron varias veces cifrar las máquina en la red. El proceso no fue realizado con éxito, así que crearon tarears programadas para ejecutar el ransomware basados en Windows Update Scurity, Windows Update Security Patches y Actualización de seguridad de Google Chrome.

El segundo intento también fue fracasado, así que optaron por un enfoque más radical. Maze implementó un archivo MSI que instaló el software VirtualBox VM en el servidor junto con una máquina virtual personalizada de Windows 7. A continuación, se ejecuta un archivo por lotes que prepara la máquina con los ejecutables del ransomware. Finalmente, la máquina se reinicia, provocando la  ejecución de vrun.exe para cifrar los archivos del host. 

Este tercer ataque si se llevo a cabo con éxtio, debido a que el software de seguridad no pudo detectar el comportamiento y detenerlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba