Las máquinas virtuales ayudan a los atacantes de ransomware a evadir la detección, pero …



Algunos atacantes de ransomware usan máquinas virtuales para eludir la detección de seguridad, pero la adopción es lenta debido a la técnica complicada.

Los investigadores de seguridad han descubierto otro grupo de ransomware que utiliza máquinas virtuales (VM) para pasar por alto las herramientas defensivas en los dispositivos de destino. Si bien es eficaz para ocultar la actividad del ransomware, esta táctica es más compleja que un ataque de ransomware tradicional y puede obstaculizar los esfuerzos de los atacantes.

La tendencia surgió el año pasado, cuando los investigadores de Sophos encontraron El ransomware Ragnar Locker se estaba implementando como una máquina virtual completa en cada dispositivo objetivo para ocultar el ransomware de la vista. Unos meses más tarde, el Grupo de ransomware laberinto fue visto usando la misma técnica, aunque con algunas diferencias. Ragnar Locker se implementó dentro de una VM de Oracle VirtualBox Windows XP, por ejemplo, mientras la VM entregada por Maze ejecutaba Windows 7.

Ahora, los investigadores de Symantec han encontrado otro grupo que united states of america máquinas virtuales para ejecutar cargas útiles de ransomware en máquinas comprometidas. En este caso, los atacantes habían instalado una VM VirtualBox en algunas computadoras infectadas, y la VM que usaron parecía estar ejecutando Windows 7, informan.

Si bien no se identificó la carga útil que se ejecuta en la máquina digital, hay «indicadores razonablemente sólidos» de que es Conti: una combinación de nombre de usuario y contraseña utilizada en el ataque se había vinculado previamente a la actividad anterior de Conti en abril. Sin embargo, en la misma computadora en la que se implementó la máquina digital, Symantec también vio la implementación del ransomware Mount Locker.

Esto fue extraño, dicen, ya que el propósito de ejecutar una carga útil en una máquina digital es evadir la detección. No tenía sentido implementarlo también en la máquina host. Los investigadores plantean la hipótesis de que el atacante podría ser un afiliado con acceso tanto a Conti como a Mount Locker. Es posible que hayan intentado ejecutar una carga útil en una máquina virtual, y cuando eso no funcionó, eligieron ejecutar Mount Locker en el host.

El objetivo principal de esta táctica es evadir la detección ocultando el ataque en una máquina digital para que el proceso de cifrado pase desapercibido. Los atacantes asignan recursos compartidos de archivos en la pink desde el inside de la máquina virtual y los cifran, en lugar de ejecutar el ransomware de forma nativa en la máquina.

Si bien es más sutil, esta técnica es más difícil de implementar para los atacantes, señala Dick O&#39Brien, editor principal del equipo de Symantec Threat Hunter.

«Está agregando otro grado de complejidad», dice sobre el uso de máquinas virtuales. «Tiene que configurar la máquina digital para que tenga permisos para cifrar archivos o acceder a archivos en la computadora host».

En este caso, el equipo de Symantec sospecha que los atacantes no lo hicieron exactamente bien.

Sigilo, pero complicado
Cuando Sophos detectó por primera vez Ragnar Locker usando máquinas virtuales, los investigadores esperaban que fuera una tendencia creciente. Una máquina virtual es un program legítimo, por lo que no debería generar señales de alerta en las herramientas antivirus tradicionales y permitir que los atacantes operen sin ser notados. Pero pasaron meses antes de que vieran a Maze usando la técnica en septiembre de 2020.

«Los desafíos son inmensos en el lado delictivo», dice Chet Wisniewski, científico investigador principal de Sophos, sobre por qué cree que el uso de máquinas virtuales en ataques de ransomware sigue siendo poco común. Es una forma complicada y lenta de lanzar un ataque de ransomware.

Una máquina virtual es «un archivo grande, es algo que se puede notar y detectar», y probablemente sería bloqueado por los mecanismos de seguridad existentes, señala. No es algo que una empresa esperaría haber descargado a través de sus firewalls o que TI lo permitiera en su entorno.

Además, agrega, la mayoría de los servidores a los que apuntan los atacantes ya están virtualizados. Esto significa que están ejecutando una máquina virtual dentro de una máquina digital, que no es la estrategia más confiable para bloquear los archivos de alguien. Los grupos de caza mayor después de rescates multimillonarios tienen un patrón, dice. Entran, permanecen en silencio, encuentran los datos confidenciales que planean cifrar y desencadenan un ataque en un plazo de siete a diez días. Por lo standard, esto comienza por la noche o un viernes, por lo que tienen más tiempo para cifrar los archivos.

«Si comienzas a hacer esto desde una máquina digital, estás amplificando la cantidad de tiempo que llevará, otro aspecto negativo para los criminales de esta táctica», agrega Wisniewski. Debido a que las máquinas virtuales son más lentas y es una unidad de purple asignada, es «significativamente más lento» que realizar la operación de cifrado de forma nativa en la propia computadora.

Señala que los atacantes que usan esta técnica solo lo harán si tiene sentido para una víctima específica. Los entornos heredados son especialmente vulnerables aquí. Si un grupo con credenciales de administrador irrumpe y se da cuenta de que una empresa está ejecutando un antivirus heredado administrado localmente, puede desactivarlo. Si está basado en la nube y no hay autenticación multifactor, también pueden desactivarlo allí.

«Una vez que entran en cada víctima, están reaccionando a lo que les rodea», dice.

Es menos probable que los entornos heredados tengan herramientas de seguridad que reaccionen a una técnica como esta. Una razón por la que esta táctica sigue siendo poco común es que solo funcionará en escenarios en los que pueda evitar las herramientas de seguridad implementadas.

Cómo pueden responder las empresas
Se recomienda a las organizaciones que conocen esta técnica que tomen medidas para defenderse de los atacantes.

«Creo que la conciencia es realmente clave en términos de saber cómo ingresan a su organización y cómo atraviesan su crimson, en términos de obtener credenciales y moverse lateralmente», dice O&#39Brien, quien insta a las empresas a cambiar regularmente sus credenciales y limitar usuarios a la actividad que deben realizar. Si alguien no tiene ningún motivo para crear una máquina digital, bloquee la posibilidad de hacerlo.

«Sea un poco más rígido en términos de las políticas que aplica», agrega.

En normal, no es una mala strategy bloquear estas aplicaciones para que no se utilicen donde no deberían usarse, dice Wisniewski. Se refiere a VirtualBox, que se united states comúnmente en estos ataques, como algo que debe bloquearse para que no se ejecute en su entorno o detectarse cuando se instala o descarga en algún lugar inusual.

«Eso nunca debería suceder en un servidor», dice. Puede ejecutarse en una estación de trabajo, pero el program de virtualización normalmente no se ejecutaría en un servidor.

El mismo consejo de defensa contra ransomware todavía se aplica aquí, señala. Lo elementary es detectar el proceso de virtualización y garantizar que los servidores tengan instalado computer software de seguridad en lugar de esperar que las herramientas de protección de terminales los protejan de este tipo de ataques.

Kelly Sheridan es la editora de personal de Dim Reading through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique