Maze 勒诈软件以前也被称为 "ChaCha 勒诈软件 ",于 2019 年 5 月 29 日被Jerome Segura发现。从历史上看,该坏心软件使用不同的工夫来得回参加权限,主如若讹诈波折讹诈器具包,具有弱密码的良友桌面链接或通过电子邮件模拟白虎 做爱,或通过不同的代理机构或公司。
在往时的一年中,Maze已成为胁迫企业和大型组织的最恶名昭著的坏心软件家眷之一。前年底以来,已有佛州彭萨科拉市政府、IT管作事者Cognizant、全录、航天劳动供应商VT San Antonio Aerospace、资安保障业者Chubb,以及韩国电子大厂LG、芯片业者MaxLinear遭到Maze暴虐,本年好意思国缆线制造公司Southwire在遭到Maze袭击后,还将该黑客集团告上法院。本年3月,ST Engineering Aerospace好意思国子公司碰到Maze勒诈软件袭击,该公司过火配结伙伴被盗1.5TB的明锐数据。2月,Maze入侵五家好意思国讼师事务所,要求支付最初93.3万好意思元BTC赎金。7月30日,跨国公司佳能(Canon)的电子邮件、存储劳动和其好意思国网站遭到了Maze团伙的勒诈软件袭击。Maze要求佳能支付加密货币赎金,不然就将泄漏相片和数据。在未能勒诈到赎金之后,勒诈软件 Maze 背后的积恶组织公开了 50.2 GB 的 LG 里面数据和 25.8 GB 的施乐里面数据。Maze 积恶组织入侵企业汇聚后,开端窃取数据然后加密数据,临了提真金不怕火赎金解密文献。LG 和施乐赫然断绝了两次勒诈企图。积恶组织公布的文献包含了 LG 多款产物固件的源代码,公开的施乐数据看起来与其客户管作事务关系。
根据Sophos的最新策划裸露,Maze勒诈软件背后的袭击者聘用Ragnar Locker勒诈软件团伙的作念法,讹诈假造机来隐匿检测。
该安全供应商开端不雅察到这种袭击技能,袭击者早在5月就启动将勒诈软件有用负载散播在假造机内。与Ragnar Locker勒诈软件团伙关系的袭击者将坏心代码瞒哄在Windows XP VM中,这使勒诈软件不错恣意运行,而不会被末端的安全软件检测到或阻隔。在本年7月,Sophos发现,Maze勒诈软件使用肖似方法对一家未具名组织进行袭击。调查裸露,袭击者不休试图用勒诈软件感染测度机,同期提真金不怕火1500万好意思元的赎金,但该组织最终莫得支付。他们最启动使用勒诈软件感染系统莫得到手,直到第三次尝试才到手,袭击者使用Ragnar Locker的VM工夫的增强版块。该方法可匡助袭击者进一步隐匿安全产物的检测。
Maze的演变史
该勒诈软件的历史始于2019年上半年,韩国女主播朴妮唛全集其时莫得任何赫然的袭击烙迹,勒诈字样中包含标题``0010 System Failure 0010'',被策划东说念主员简称为``ChaCha勒诈软件''。
白虎 做爱
早期版块的Maze / ChaCha勒诈软件的赎金记载
尔后不久,该木马的新版块启动被象征为Maze,并使用一个与受害者关系的网站,而不是截图中裸露的通用电子邮件地址。
最新版块的Maze勒诈软件使用的网站
Maze勒诈软件的传播计谋最初包括通过波折讹诈器具包(即Fallout EK和Spelevo EK)以及带有坏心附件的垃圾邮件进行感染。底下是一个坏心垃圾邮件的例子白虎 做爱,其中包含一个MS Word文档和一个宏,主张是下载Maze勒诈软件有用载荷。
如果收件东说念主翻开附加的文档,将教导他们启用裁剪款式,然后启用内容。如果他们受骗了,包含在文档中的坏心宏就会履行,这将导致受害者的PC被Maze勒诈软件感染。
除了这些典型的感染方法除外,Maze背后的竖立者也启动以公司和市政组织为野心,以最猛进度地勒诈勒诈财富。
Maze最初的袭击机制和当今的袭击机制还是有很大交流,一些事件波及安设Cobalt Strike RAT的鱼叉式汇聚垂钓举止,而在其他情况下,汇聚波折是由于讹诈了脆弱的面向Internet的劳动变成的。可从互联网调查的测度机上的弱RDP把柄也组成了胁迫,因为Maze的运营商也可能会使用此波折。
特权升级、有观看和横向移动计谋也因情况而异。在这些阶段中,已不雅察到使用了以下器具:mimikatz,procdump,Cobalt Strike,Advanced IP Scanner,Bloodhound,PowerSploit等。
在这些中间阶段,袭击者会试图识别出受感染采聚合劳动器和职责站上存储的有价值的数据。然后,他们将泄漏受害者的玄机文献,以便在参谋赎金的大小时加以讹诈。
在入侵的临了阶段,坏心操作员会将Maze勒诈软件可履行文献安设到他们不错调查的扫数测度机上。这么不错对受害者的贵重数据进行加密,并最终完成袭击。
数据泄漏/浑浊
Maze勒诈软件是第一批胁迫如果受害者断绝配合就表示其玄机数据的勒诈软件家眷之一,现实上,这使Maze成为一种袭击趋势引颈者,因为这种方法对违规来说是如斯故意可图,甚而于当今它已成为包括REvil / Sodinokibi,DoppelPaymer,JSWorm / Nemty / Nefilim,RagnarLocker和Snatch在内的几个恶名昭著的勒诈软件的榜样。
Maze勒诈软件的竖立者们竖立了一个网站,在那处他们列出了最近的受害者,并公布了部分或全部文献,这些文献是他们在一次汇聚入侵后窃取的。
2020年6月,Maze背后的袭击者与另外两个袭击组织LockBit和RagnarLocker配合,组成了一个所谓的“cartel组织”,这个小组窃取的数据当今将发布在由Maze运营商爱戴的博客上。
袭击者不单是是通过储存表示的文献来眩惑行业的郑重力,赫然他们还共享了他们的专科学问,Maze当今使用的履行工夫以前只须RagnarLocker使用过。
简要工夫先容
Maze勒诈软件往往是手脚一个PE二进制(EXE或DLL,这取决于具体的场景),该二进制文献以C / C ++竖立并由自界说保护门径进行浑浊处置。它聘用多样技巧来阻隔静态分析,包括动态API函数导入、使用条款跳转的牺牲流浑浊、用JMP dword ptr [esp-4]代替RET,用PUSH + JMP代替CALL,以过火他一些工夫。
为了不被迫态分析检测到,Maze木马门径还将远隔策划东说念主员往往使用的历程,举例procmon,procexp,ida,x32dbg等。
Maze使用的加密有野心包括几个脉络:
为了加密受害者文献的内容,Maze会安全地生成唯独的密钥和赶紧数值,以与ChaCha流密码一说念使用; ChaCha密钥和赶紧数值由启动坏心软件时生成的会话大师RSA-2048密钥加密; 会话专用RSA-2048密钥由木马主体中硬编码的主公用RSA-2048密钥加密。该方法允许袭击者在为每个受害者出售解密器具时保捏他们的主迥殊RSA密钥的玄妙,也确保了一个受害者购买的解密器具不会被其他东说念主使用。
当在一台测度机上履行时,Maze勒诈软件还会尝试笃定它感染了哪种类型的电脑。它尝试差异不同类型的系统(“备份劳动器”、“域牺牲器”、“寂寞劳动器”等)。Maze进而讹诈勒诈信中的这些信息,进一步恐吓受害者,使他们以为袭击者了解相关受影响汇聚的一切。
Maze用来生成赎金单据的字符串
生成赎金单据的门径片断
巨乳无码缓解门径
勒诈软件工夫每天皆在发展,这意味着幸免和看管感染的应激性方法船到急时抱佛脚迟。勒诈软件的最好看管方法是主动看管,因为一朝加密数据,还原数据往往为时已晚。
有很多淡漠不错匡助预防此类袭击:
保捏操作系统和应用门径已更新并保捏最新现象。 对扫数职工进行汇聚安全培训。 仅将安全工夫用于公司局域网中的良友链接。 将末端安全与步履检测和自动文献回滚一说念使用,举例Kaspersky Endpoint Security for Business 。 使用最新的胁迫谍报信息不错快速检测到袭击,并了解有用的对策并预防其扩散。本文翻译自:https://securelist.com/maze-ransomware/99137/