勒索软件部署虚拟机以对防病毒软件隐藏自身

2020-05-23 01:48:02

RagnarLocker勒索软件的操作员正在他们感染的计算机上安装VirtualBox应用程序并运行虚拟机,以便在本地防病毒软件无法到达的安全环境中运行他们的勒索软件。

英国网络安全公司Sophos今天发现并详细介绍了这一最新的伎俩,显示了一些勒索软件团伙在攻击受害者时将不遗余力地避免被发现的创造力和巨大的长度。

避免被发现是至关重要的,因为RagnarLocker不是典型的勒索软件团伙。他们是一个精心选择目标的群体,避开家庭消费者,只针对企业网络和政府组织。

索福斯说,该组织过去曾通过滥用暴露在互联网上的RDP端点来瞄准受害者,并侵入了MSP(托管服务提供商)工具,以侵入公司并获得对其内部网络的访问权限。

在这些网络上,RagnarLocker组织部署了他们的勒索软件的一个版本--每个受害者都是定制的--然后要求数万美元和数十万美元的天文数字解密费。

由于每一次这些精心策划的入侵都代表着赚取大笔资金的机会,RagnarLocker小组已经为隐形行动装上了底漆,最近还想出了一个新的诀窍,以避免被杀毒软件发现。

RagnarLocker团伙不是直接在他们想要加密的计算机上运行勒索软件,而是下载并安装Oracle VirtualBox,这是一种允许您运行虚拟机的软件。

然后,该组配置虚拟机以授予其对所有本地和共享驱动器的完全访问权限,从而允许虚拟机与存储在其自身存储之外的文件交互。

下一步是启动虚拟机,运行名为MicroXP v0.82的Windows XP SP3操作系统的精简版本。

最后一个阶段是将勒索软件加载到虚拟机(VM)中并运行它。因为勒索软件在虚拟机内部运行,所以防病毒软件将无法检测勒索软件的恶意进程。

从杀毒软件的角度来看,本地系统和共享驱动器上的文件将突然被它们的加密版本替换,所有文件修改似乎都来自合法的进程--即VirtualBox应用程序。

Sophos的工程和威胁缓解主管Mark Loman今天告诉ZDNet,这是他第一次看到勒索软件团伙在攻击期间滥用虚拟机。

在过去的几个月里,我们看到了勒索软件在几个方面的发展。但是,Ragnar Locker的对手正在将勒索软件提升到一个新的水平,并跳出框框进行思考,他补充道。

整个RagnarLocker勒索软件的概述,包括它的VM技巧,可以在Sophos';最近的报告中找到。