El ransomware Maze, encripta tu PC usando máquinas virtuales

23 septiembre, 2020
8 Compartido 1,692 Visualizaciones

Los ciberdelincuentes se han inspirado en la banda Ragnar Locker

En esta ocasión, los atacantes no han buscado una nueva fórmula de ataque, sino que se han basado en las de sus compañeros, en este caso en las de la banda Ragnar Locker. Han utilizado una máquina virtual para cifrar por completo los ordenadores y así poder pedir el típico rescate de los ransomware.

El ransomware de Ragnar Locker apareció el pasado mayo, cifrando a través de máquinas virtuales VirtualBox Windows XP para eludir el software de seguridad en el host final. Éste puede seguir ejecutando y cifrando los archivos porque el software de seguridad que se ejecuta en el host de la víctima no detecta el ejecutable del ransomware en la máquina virtual.

De esta manera, la víctima se da cuenta de que ha sido atacada una vez que ha finalizado el ciberataque. Entonces la persona perjudicada encontrará una nota de rescate personalizada que explica que su empresa ha sido atacada y sus archivos encriptados por completo.

Por otro lado, el ransomware Maze, fue descubierto por Shopos cuando vieron que el virus malicioso había intentado implementar su ransomware dos veces. La máquina virtual de Maze estaba ejecutando Windows 7. Además, los piratas informáticos se habían pasado días creando listas de direcciones IP dentro de la red del objetivo, utilizando uno de los servidores de controlador de dominio del objetivo.

Estos ataques del ransomware Maze empezaron con el uso de archivos por lotes e intentaron varias veces cifrar las máquina en la red. El proceso no fue realizado con éxito, así que crearon tarears programadas para ejecutar el ransomware basados en Windows Update Scurity, Windows Update Security Patches y Actualización de seguridad de Google Chrome.

El segundo intento también fue fracasado, así que optaron por un enfoque más radical. Maze implementó un archivo MSI que instaló el software VirtualBox VM en el servidor junto con una máquina virtual personalizada de Windows 7. A continuación, se ejecuta un archivo por lotes que prepara la máquina con los ejecutables del ransomware. Finalmente, la máquina se reinicia, provocando la  ejecución de vrun.exe para cifrar los archivos del host. 

Este tercer ataque si se llevo a cabo con éxtio, debido a que el software de seguridad no pudo detectar el comportamiento y detenerlo.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

ESET, reconocido por Forrester por el rendimiento de sus soluciones endpoint
Actualidad
5 compartido1,352 visualizaciones
Actualidad
5 compartido1,352 visualizaciones

ESET, reconocido por Forrester por el rendimiento de sus soluciones endpoint

Aina Pou Rodríguez - 24 febrero, 2020

 ESET, ha sido reconocida por Forrester Research como “strong performer” en el Forrester Wave: Informe de Tercer Trimestre de 2019…

La ciberseguridad cierra un año clave. ¿Y ahora qué?
Actualidad
5 compartido2,156 visualizaciones
Actualidad
5 compartido2,156 visualizaciones

La ciberseguridad cierra un año clave. ¿Y ahora qué?

Alicia Burrueco - 18 diciembre, 2020

Xavier Codó, Vicepresidente y CEO de Mitek en Iberia y Latam Este año nos deja dos pandemias. Una del coronavirus.…

AIG resume en tres los principales riesgos de ciberseguridad para las empresas
Actualidad
20 compartido3,045 visualizaciones
Actualidad
20 compartido3,045 visualizaciones

AIG resume en tres los principales riesgos de ciberseguridad para las empresas

Samuel Rodríguez - 25 octubre, 2018

El informe de ciberincidentes de 2017 de la aseguradora constata una tendencia creciente de notificaciones en sectores que antes no…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.