Empresa detecta ataque do RagnarLocker que estava oculto em uma máquina virtual do Oracle VirtualBox Windows XP

Ransomware-28.jpg

Pesquisadores de segurança alertam para uma nova técnica de ataque de ransomware que implanta o malware como uma máquina virtual para evitar as defesas tradicionais. A Sophos diz ter detectado recentemente um ataque do RagnarLocker no qual o ransomware estava oculto dentro de uma máquina virtual do Oracle VirtualBox Windows XP.

A empresa disse que a carga útil do ataque era um instalador de 122 MB, com uma imagem virtual de 282 MB ocultando um executável de 49 KB.

“No ataque detectado, os operadores do Ragnar Locker usaram uma tarefa GPO (objetos de diretiva de grupo do Windows) para executar o Microsoft System Installer (msiexec.exe), transmitindo parâmetros para baixar e instalar silenciosamente um pacote MSI não assinado de 122 MB criado a partir de um servidor web remoto”, explicou o diretor de engenharia da Sophos , Mark Loman, em entrevista à Infosecurity.

O pacote MSI continha um hypervisor Oracle VirtualBox e um arquivo de imagem de disco virtual (VDI) chamado micro.vdi, que era uma imagem de uma versão simplificada do sistema operacional Windows XP SP3.

“Como o aplicativo de ransomware vrun.exe é executado dentro da máquina virtual, seus processos e comportamentos podem ser desimpedidos, porque estão fora do alcance do software de segurança na máquina host física”, explicou Loman.

O ataque parece ter sido altamente direcionado, pois a nota de resgate continha o nome da vítima. O RagnarLocker entrou em ação recentemente, depois de ter sido implantado contra o grupo português de energia EDP em um ataque exigindo o pagamento de € 10 milhões (o equivalente a US$ 11 milhões).

O grupo por trás do ransomware geralmente tem como alvo provedores de serviços gerenciados (MSPs) e explora falhas no Windows Remote Desktop Protocol (RDP) para ganhar uma posição nas organizações. Após obter acesso no nível de administrador ao domínio de um destino e exfiltração de dados, os hackers usaram ferramentas administrativas nativas do Windows, como Powershell e GPOs, para mover lateralmente pela rede para clientes e servidores Windows.

Fonte: CISO Advisor