Ataque de ransonware Ragnar Locker se esconde em máquina virtual

Ataque de ransonware Ragnar Locker se esconde em máquina virtual. Os atores de ameaças desenvolveram um novo tipo de método de ataque ocultando o Ragnar Locker ransomware dentro de uma máquina virtual para evitar a detecção.

Os atores de ameaças desenvolveram um novo tipo de ataque de ransomware que usa máquinas virtuais, revelou a Sophos em um post do blog.

Os pesquisadores da Sophos detectaram recentemente um ataque de ransomware do Ragnar Locker que “leva a evasão da defesa a um novo nível“. De acordo com o post, a variante ransomware foi desenvolvida dentro de uma máquina virtual Windows XP para ocultar o código malicioso da detecção de antimalware. A máquina virtual inclui uma versão antiga do Sun xVM VirtualBox, que é um hipervisor de código aberto gratuito que foi adquirido pela Oracle quando adquiriu a Sun Microsystems em 2010.

 

Em ataques anteriores, o grupo Ragnar Locker usou explorações de provedores de serviços gerenciados ou ataques a conexões RDP (Windows Remote Desktop Protocol) para conquistar uma posição nas redes direcionadas. Depois de obter acesso no nível de administrador ao domínio de um destino e exfiltração de dados, eles usaram ferramentas administrativas nativas do Windows, como Powershell e GPOs (Objetos de Diretiva de Grupo do Windows), para mover lateralmente pela rede para clientes e servidores Windows.

No ataque detectado, os atores do Ragnar Locker usaram uma tarefa de GPO para executar o Microsoft Installer (msiexec.exe), transmitindo parâmetros para baixar e instalar silenciosamente um pacote MSI não 122 criado e não assinado de 122 MB de um servidor Web remoto. O conteúdo principal do pacote MSI era:

  • Uma instalação funcional de um hypervisor Oracle VirtualBox antigo – na verdade, o Sun xVM VirtualBox versão 3.0.4 de 5 de agosto de 2009 (a Oracle comprou a Sun Microsystems em 2010).
  • Um arquivo de imagem de disco virtual (VDI) chamado micro.vdi – uma imagem de uma versão simplificada do sistema operacional Windows XP SP3, chamada MicroXP v0.82. A imagem inclui o executável de ransomware Ragnar Locker de 49 kB.
 

Como o aplicativo de ransomware vrun.exe é executado dentro da máquina virtual, seus processos e comportamentos podem ser desimpedidos, porque estão fora do alcance do software de segurança na máquina host física“, escreveu Loman.

Foi a primeira vez que a Sophos viu máquinas virtuais usadas para ataques de ransomware, disse Loman.

Segundo o canal TechTarget, não está claro quantas organizações foram afetadas por esse ataque recente e quão difundido foi. No passado, o grupo de ransomware Ragnar Locker tinha como alvo provedores de serviços gerenciados e usava seu acesso remoto a clientes para infectar mais organizações.

 

Fonte: TechTarget & Sophos

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Hackers invadem sistema da Light e pedem resgate de US$ 7 milhões

Deixe sua opinião!