El ransomware implementa máquinas virtuales para ocultarse del program antivirus


ragnarlocker.jpg

Los operadores del ransomware RagnarLocker están instalando la aplicación VirtualBox y ejecutando máquinas virtuales en las computadoras que infectan para ejecutar su ransomware en un entorno «seguro», fuera del alcance del computer software antivirus regional.

Este último truco ha sido descubierto y detallado hoy por la firma británica de ciberseguridad Sophos y muestra la creatividad y el gran esfuerzo que algunas pandillas de ransomware harán para evitar ser detectados mientras atacan a una víctima.

¿Qué es RagnarLocker?

Evitar la detección es essential porque RagnarLocker no es la típica banda de ransomware. Son un grupo que selecciona cuidadosamente los objetivos, evitando a los consumidores domésticos y persigue solo las redes corporativas y las organizaciones gubernamentales.

Sophos dice que el grupo se ha dirigido a víctimas en el pasado al abusar de los puntos finales RDP expuestos a World-wide-web y ha comprometido las herramientas de MSP (proveedor de servicios gestionados) para violar a las empresas y obtener acceso a sus redes internas.

En estas redes, el grupo RagnarLocker despliega una versión de su ransomware, personalizada para cada víctima, y ​​luego exige una tarifa de descifrado astronómico por valor de decenas y cientos de miles de dólares estadounidenses.

Debido a que cada una de estas intrusiones cuidadosamente planificadas representa una oportunidad de ganar grandes cantidades de dinero, el grupo RagnarLocker ha puesto una cartilla sobre el sigilo y recientemente ha creado un truco novedoso para evitar ser detectado por un application antivirus.

El truco de la máquina digital.

El «truco» es en realidad bastante simple e inteligente cuando lo piensas.

En lugar de ejecutar el ransomware directamente en la computadora que desean encriptar, la pandilla RagnarLocker descarga e instala Oracle VirtualBox, un tipo de software program que le permite ejecutar máquinas virtuales.

Luego, el grupo configura la máquina digital para darle acceso completo a todas las unidades locales y compartidas, permitiendo que la máquina virtual interactúe con archivos almacenados fuera de su propio almacenamiento.

El siguiente paso es iniciar la máquina virtual, ejecutando una versión simplificada del sistema operativo Windows XP SP3, llamada MicroXP v0.82.

La fase ultimate es cargar el ransomware dentro de la máquina virtual (VM) y ejecutarlo. Debido a que el ransomware se ejecuta dentro de la VM, el software package antivirus no podrá detectar el proceso malicioso del ransomware.

Desde el punto de vista del application antivirus, los archivos del sistema local y las unidades compartidas se reemplazarán repentinamente con sus versiones encriptadas, y todas las modificaciones de los archivos parecen provenir de un proceso legítimo, es decir, la aplicación VirtualBox.

Mark Loman, director de ingeniería y mitigación de amenazas de Sophos, dijo hoy a ZDNet que esta es la primera vez que ve a un grupo de ransomware abusar de máquinas virtuales durante un ataque.

«En los últimos meses, hemos visto evolucionar el ransomware de varias maneras. Pero, los adversarios de Ragnar Locker están llevando el ransomware a un nuevo nivel y pensando de manera innovadora», agregó.

Está disponible una descripción typical de todo el ransomware RagnarLocker, incluido su truco VM. en el reciente informe de Sophos.



Enlace a la noticia unique