Maze 勒索软件之前也被称为 "ChaCha 勒索软件 ",于 2019 年 5 月 29 日被Jerome Segura发觉。从在历史上看,该恶意程序应用不一样的新技术来获得进到管理权限,主要是运用漏洞检测工具箱,具备明文密码的远程桌面连接或根据电子邮箱仿真模拟,或根据不一样的代理公司或企业。
在过去的一年中,Maze已成为了危害公司和大中型机构的最灭绝人性的恶意程序大家族之一。去年年底至今,已经有佛罗里达州彭萨科拉市人民政府、IT服务就业者Cognizant、全录、航空航天服务提供商VT San Antonio Aerospace、资安保险行业者Chubb,及其韩电子器件大型厂LG、处理芯片就业者MaxLinear遭受Maze席卷,2022年英国线缆生产制造企业Southwire在遭受Maze进攻后,还将该网络黑客集团公司状告人民法院。2022年3月,ST Engineering Aerospace英国分公司遭受Maze勒索软件进攻,该企业以及合作方失窃1.5TB的隐秘数据。2月,Maze侵入五家英国法律事务所,规定付款超出93.3万美金BTC保释金。7月30日,跨国企业cannon(Canon)的电子邮箱、储存服务项目和其海外网站遭受了Maze犯罪团伙的勒索软件进攻。Maze规定cannon付款数字货币保释金,不然就将泄露相片和数据信息。在无法敲诈勒索到保释金以后,勒索软件 Maze 身后的违法犯罪机构公布了 50.2 GB 的 LG 内部结构信息和 25.8 GB 的施乐内部结构数据信息。Maze 违法犯罪机构侵入企业网络后,最先盗取数据信息随后数据加密数据信息,最终索取保释金破译文档。LG 和施乐显而易见拒绝了2次敲诈勒索妄图。违法犯罪机构发布的文件包含了 LG 几款商品固定件的源码,公布的施乐数据信息看上去与其说顾客服务业务流程有关。
依据Sophos的近期分析表明,Maze勒索软件身后的网络攻击选用Ragnar Locker勒索软件犯罪团伙的作法,运用vm虚拟机来躲避检验。
该安全性经销商最开始观查到这类进攻方式,网络攻击早就在5月就逐渐将勒索软件合理负荷遍布在vm虚拟机内。与Ragnar Locker勒索软件犯罪团伙有关的网络攻击将恶意程序掩藏在Windows XP VM中,这使勒索软件可以肆无忌惮运作,而不容易被终端设备的安全性软件检测到或阻拦。在2022年7月,Sophos发觉,Maze勒索软件应用相近方式对一家未居民机构开展进攻。数据调查报告,网络攻击持续尝试勒索软件感柒电子计算机,与此同时索取1500万元的保释金,但该机构最后沒有付款。她们最初应用勒索软件感柒系统软件沒有取得成功,直到第三次试着才取得成功,网络攻击应用Ragnar Locker的VM技术性的提高版本号。该方式 可协助网络攻击进一步躲避网络安全产品的检验。
Maze的演变史
该勒索软件的时间起源于2019年上半年度,那时候没有显著的进攻印记,敲诈勒索字眼中包括文章标题``0010 System Failure 0010'',被科学研究工作人员通称为``ChaCha勒索软件''。
初期版本升级的Maze / ChaCha勒索软件的保释金纪录
此后没多久,该木马病毒的最新版本逐渐被标识为Maze,并应用一个与受害人有关的网址,而不是截屏中展示的通用性电子邮箱地址。
最新版的Maze勒索软件应用的网址
Maze勒索软件的传播策略最开始包含根据漏洞检测工具箱(即Fallout EK和Spelevo EK)及其含有故意配件的垃圾短信开展感柒。下边是一个故意垃圾短信的事例,在其中包括一个MS Word文件和一个宏,目地是免费下载Maze勒索软件有效载荷。
假如收货人开启额外的文本文档,将提醒她们开启编写方式,随后开启內容。假如她们上当了,包括在文本文档中的故意宏便会实行,这将造成受害人的PC被Maze勒索软件感柒。
除开这种常见的传染方式以外,Maze身后的开发人员也逐渐以企业和市政工程机构为总体目标,以最大的水平地敲诈勒索勒索钱财。
Maze最开始的进攻体系和如今的进攻体制己经有非常大同样,一些事情涉及到安裝Cobalt Strike RAT的鱼叉式钓鱼攻击主题活动,而在其它状况下,互联网系统漏洞是因为运用了敏感的朝向Internet的服务项目产生的。可从互联网技术浏览的计算机系统上的弱RDP凭证也组成了危害,由于Maze的营运商也有可能会采用此系统漏洞。
权利更新、侦查和横着挪动对策也因状况而异。在这种环节中,已观查到应用了下列专用工具:mimikatz,procdump,Cobalt Strike,Advanced IP Scanner,Bloodhound,PowerSploit等。
在这种正中间环节,网络攻击会尝试鉴别出受感柒互联网中网络服务器和工作平台上储存的有價值的数据信息。随后,她们将泄露受害人的绝密文件,便于在商议保释金的大钟头进行运用。
在侵入的最终环节,故意操作工会将Maze勒索软件可执行程序安裝到她们可以浏览的全部电子计算机上。那样可以对受害人的珍贵数据信息开展数据加密,并最后进行进攻。
数据泄漏/搞混
Maze勒索软件是第一批危害假如受害人回绝协作就泄漏其商业秘密数据信息的勒索软件大家族之一,事实上,这使Maze成为一种进攻发展趋势引导者,由于这个方式 对犯罪分子而言是如此能够赚钱,以致于如今它已变成包含REvil / Sodinokibi,DoppelPaymer,JSWorm / Nemty / Nefilim,RagnarLocker和Snatch以内的好多个灭绝人性的勒索软件的楷模。
Maze勒索软件的开发人员们开发设计了一个网站,在那里她们列举了近期的受害人,并发布了一部分或全部文件,这种文档是它们在一次互联网侵入后盗取的。
2020年6月,Maze身后的网络攻击与此外2个进攻机构LockBit和RagnarLocker协作,构成了一个说白了的“cartel机构”,这一工作组盗取的信息如今将公布在由Maze营运商维护保养的博主上。
网络攻击不仅是根据存储泄漏的资料来吸引住领域的专注力,显而易见她们还介绍了他俩的专业技能,Maze如今采用的实行技术性之前仅有RagnarLocker应用过。
简略技术性详细介绍
Maze勒索软件通常是身为一个PE二进制(EXE或DLL,这在于实际的情景),该二进制文件以C / C 开发设计并由自定维护程序流程开展搞混解决。它选用多种方法来阻拦静态数据剖析,包含动态性API函数导进、应用标准自动跳转的控制流搞混、用JMP dword ptr [esp-4]替代RET,用PUSH JMP代替CALL,及其其它一些技术性。
为了更好地不被动态变化检验到,Maze恶意代码还将停止科学研究工作人员通常运用的步骤,例如procmon,procexp,ida,x32dbg等。
Maze应用的数据加密计划方案包含好多个层级:
- 为了更好地数据加密受害人文档的內容,Maze会安全性地转化成唯一的密匙和任意标值,以与ChaCha流登陆密码一起应用;
- ChaCha密匙和任意标值由运行恶意程序时产生的对话公共性RSA-2048密匙数据加密;
- 对话专用型RSA-2048密匙由木马病毒行为主体中硬编码的主公用RSA-2048密匙数据加密。
该方式容许网络攻击在为每一个受害人售卖解密工具时维持她们的主私有化RSA密匙的密秘,也保证 了一个受害人选购的解密工具不容易被别人应用。
当在一台电脑上实行时,Maze勒索软件还会继续试着明确它感染了哪一种种类的计算机。它试着区别不一样种类的系统软件(“备份数据网络服务器”、“域控制器”、“独立主机”等)。Maze从而运用敲诈勒索信中的那些信息内容,进一步吓唬受害人,使她们觉得网络攻击掌握相关受影响互联网的一切。
Maze用于转化成保释金单据的字符串数组
转化成保释金单据的程序流程精彩片段
减轻对策
勒索软件技术性每日都是在发展趋势,这代表着防止和预防感染的应急性方式无济于事。勒索软件的最好防御力方式是积极防止,由于一旦数据加密数据信息,数据恢复通常于事无补。
有很多提议可以协助避免该类进攻:
- 维持电脑操作系统和应用软件已升级并维持全新情况。
- 对所有的职工开展网络安全培训。
- 仅将安全生产技术用以企业局域网络中的远程桌面连接。
- 将计算机终端与个人行为检验和全自动文档回滚一起应用,例如Kaspersky Endpoint Security for Business 。
- 使用全新的威胁情报信息可以快速检测到进攻,并掌握有用的防范措施并预防其扩散。
文中翻譯自:https://securelist.com/maze-ransomware/99137/