Brytyjska firma zajmująca się cyberbezpieczeństwem Sophos ostrzegła przed istnieniem nowego oprogramowania ransomware, które implementuje kompletną maszynę wirtualną w sprzęcie sieciowym przedsiębiorstwa i żąda okupu w wysokości 1580 BTC. Zostało to ogłoszone 21 maja za pośrednictwem strony internetowej.
Oprogramowanie ransomware o nazwie „Ragnar Locker” jest ukryte na urządzeniach, które atakuje, instalując kompletną maszynę wirtualną . Według Sophosa w niedawno wykrytym ataku Ragnar Locker został zainstalowany w Oracle VirtualBox z Windows XP.
Firma cyberbezpieczeństwa wyjaśniła, że Ragnar Locker użył instalatora o wielkości 122 MB jako ładunku ataku wraz z wirtualnym obrazem o wielkości 282 MB w środku, aby ukryć plik wykonywalny oprogramowania ransomware o rozmiarze 49 KB, a tym samym uniknąć bezpieczeństwa. systemu.
„W wykrytym ataku aktorzy Ragnar Locker użyli zadania GPO do uruchomienia Instalatora Microsoft (msiexec.exe), przekazując parametry w celu cichego pobrania i zainstalowania 122 MB niepodpisanego i zaprojektowanego pakietu MSI ze zdalnego serwera WWW.” Sophos.
Należy zauważyć, że pakiety MSI (Microsoft Installer) to pakiety oprogramowania zawierające informacje służące do automatyzacji instalacji. W przypadku Ragnar Locker pakiet MSI zawiera „funkcjonalną instalację starego hypervisora Oracle VirtualBox: właściwie Sun xVM VirtualBox w wersji 3.0.4 z 5 sierpnia 2009”.
Wraz z tą instalacją znajduje się „plik wirtualnego obrazu dysku (VDI) o nazwie micro.vdi, obraz uproszczonej wersji systemu operacyjnego Windows XP SP3 o nazwie MicroXP v0.82”; Obraz ten obejmuje plik wykonywalny ransomware Ragnar Locker, wyjaśniono od Sophos.
Brytyjska firma dodała, że celem ataków Ragnara Lockera są duże organizacje oraz że oprogramowanie ransomware może przenosić się przez sieci klientów i serwerów Windows.
Z Sophos wyjaśnił, że cyberprzestępcy po Ragnar Locker kradną poufne informacje od firm, które grożą upublicznieniem takich danych, jeśli nie zapłacą żądanego w BTC okupu :
„Przeciwnicy Ragnar Locker są znani z kradzieży danych z określonych sieci przed uruchomieniem oprogramowania ransomware, aby zachęcić ofiary do zapłaty. W kwietniu aktorzy stojący za Ragnarem Lockerem zaatakowali sieć Portugal Energies (EDP) i twierdzili, że ukradli 10 terabajtów poufnych danych firmy, żądając zapłaty 1 580 bitcoinów (około 11 milionów USD) i grożąc uwolnieniem dane, jeśli okup nie został zapłacony ». Sophos.
W raporcie wydanym przez Sophos dodali, że plik wykonywalny Ragnar Locker jest kompilowany wyłącznie przez ofiarę, ponieważ nota okupu odzwierciedla imię ofiary.
Ragnar Locker może skompilować tylko ofiara. To oprogramowanie ransomware personalizuje notatkę o okupie, nadając jej imię ofiary. Źródło: Sophos
Sophos dodał, że Ragnar Locker znajduje się w C: \ vrun.exe, a ponieważ jest wdrożony w maszynie wirtualnej zawartej w pakiecie MSI, „jego proces i zachowania można wykonywać bez przeszkód, ponieważ są one poza zasięgiem oprogramowanie zabezpieczające na fizycznym komputerze hosta ”; W tym ostatnim dane na dostępnych dyskach i dysku są atakowane przez proces Oracle VM Vbox, który jest wykrywany jako legalny proces.
Ratuje w kryptowaluty
W ubiegłym miesiącu Międzynarodowa Organizacja Policji Kryminalnej (Interpol) wydała ostrzeżenie o znaczącym wzroście liczby ataków cybernetycznych z oprogramowaniem ransomware na systemy szpitalne w trakcie kryzysu, który dotknął pandemię COVID-19. Interpol wyjaśnił, że cyberprzestępcy zintensyfikowali wysiłki, aby zablokować komputery szpitalne za pomocą oprogramowania ransomware, które żąda dużych kwot BTC jako okupu.
Ze swojej strony operatorzy oprogramowania ransomware znanego jako Sodinokibi zaczęli zastępować pakiety ratunkowe w kryptowalucie bitcoinów zasobem Monero, domagając się większej anonimowości i prywatności. Ci hakerzy wskazali na wirtualnym forum, że zaczęli akceptować Monero kryptowaluta (XMR) ze względu na trudność, jaką jego śledzenie stanowi dla policji.
Wyróżniony obraz autorstwa Katie White / pixabay.com
Źródło wiadomości: Bitcoin.es
Dodaj komentarz