Ataque de ransonware Ragnar Locker se esconde em máquina virtual. Os atores de ameaças desenvolveram um novo tipo de método de ataque ocultando o Ragnar Locker ransomware dentro de uma máquina virtual para evitar a detecção.
Os atores de ameaças desenvolveram um novo tipo de ataque de ransomware que usa máquinas virtuais, revelou a Sophos em um post do blog.
Os pesquisadores da Sophos detectaram recentemente um ataque de ransomware do Ragnar Locker que “leva a evasão da defesa a um novo nível“. De acordo com o post, a variante ransomware foi desenvolvida dentro de uma máquina virtual Windows XP para ocultar o código malicioso da detecção de antimalware. A máquina virtual inclui uma versão antiga do Sun xVM VirtualBox, que é um hipervisor de código aberto gratuito que foi adquirido pela Oracle quando adquiriu a Sun Microsystems em 2010.
Em ataques anteriores, o grupo Ragnar Locker usou explorações de provedores de serviços gerenciados ou ataques a conexões RDP (Windows Remote Desktop Protocol) para conquistar uma posição nas redes direcionadas. Depois de obter acesso no nível de administrador ao domínio de um destino e exfiltração de dados, eles usaram ferramentas administrativas nativas do Windows, como Powershell e GPOs (Objetos de Diretiva de Grupo do Windows), para mover lateralmente pela rede para clientes e servidores Windows.
No ataque detectado, os atores do Ragnar Locker usaram uma tarefa de GPO para executar o Microsoft Installer (msiexec.exe), transmitindo parâmetros para baixar e instalar silenciosamente um pacote MSI não 122 criado e não assinado de 122 MB de um servidor Web remoto. O conteúdo principal do pacote MSI era:
- Uma instalação funcional de um hypervisor Oracle VirtualBox antigo – na verdade, o Sun xVM VirtualBox versão 3.0.4 de 5 de agosto de 2009 (a Oracle comprou a Sun Microsystems em 2010).
- Um arquivo de imagem de disco virtual (VDI) chamado micro.vdi – uma imagem de uma versão simplificada do sistema operacional Windows XP SP3, chamada MicroXP v0.82. A imagem inclui o executável de ransomware Ragnar Locker de 49 kB.
“Como o aplicativo de ransomware vrun.exe é executado dentro da máquina virtual, seus processos e comportamentos podem ser desimpedidos, porque estão fora do alcance do software de segurança na máquina host física“, escreveu Loman.
Foi a primeira vez que a Sophos viu máquinas virtuais usadas para ataques de ransomware, disse Loman.
Segundo o canal TechTarget, não está claro quantas organizações foram afetadas por esse ataque recente e quão difundido foi. No passado, o grupo de ransomware Ragnar Locker tinha como alvo provedores de serviços gerenciados e usava seu acesso remoto a clientes para infectar mais organizações.
Fonte: TechTarget & Sophos
Veja também:
- Publicado Prova de Conceito de exploração de bug do Windows 10 SMBGhost
- Hackers violam rede de consultores para roubarem dados da NASA
- COVID-19 gera pico de ataques de phishing em dispositivos móveis
- Pesquisadores divulgam vulnerabilidades críticas no SAP ASE
- Você sabe o que é um Data Lake ?
- Vulnerabilidade do VMware Cloud Director tem grande impacto
- O que Computação Confidencial ? Confidential Computing Consortium
- Anonymous ameaça expor ‘crimes’ da polícia dos EUA e cita Jair Bolsonaro
- Adversários do eCrime ajustam as técnicas de engenharia social
- Trabalhar em casa por um tempo? Veja como fazê-lo com segurança.
- Mulheres são melhores em segurança cibernética do que homens
- Ataques RangeAmp podem derrubar sites e servidores CDN
Deixe sua opinião!