Hakeri koji stoje iza RagnarLocker ransomware operacije kriju svoje prisustvo na zaraženim računarima uz pomoć Oracle VirtualBox softvera za virtuelizaciju. Pokretanjem VirtualBox aplikacije, oni praktično pokreću ransomware u “bezbednom” okruženju kome AV rešenja nemaju pristup. Ovaj slučaj još jednom demonstrira kreativnost i veliki napor koji sajber kriminalne grupe ulažu kako bi izbegle detekciju i ostvarile svoje ciljeve.

RagnarLocker ransomware grupa

Ovoj hakerskoj grupi je imperativ da ostane neprimećena za vreme trajanja sajber napada. Njihovi napadi su usko ciljani, pažljivo biraju mete, ne napadaju individualne korisnike, već samo korporacije i državna tela. Poznati su po napadima na RDP portove otvorene ka internetu i po kompromitovanju MSP alata preko kojih ulaze u interne mreže kompanija. U svaku od ovih mreža ubacuju drugačiju, specijalno napravljenu verziju ransomwara, a za otključavanje fajlova traže velike sume novca - od nekoliko desetina do nekoliko stotina hiljada dolara. Zbog toga što detaljno planiraju svaki napad i zahtevaju velike otkupnine, akcenat su stavili na izbegavanje detekcije, a od nedavno u svom arsenalu imaju novi “trik”.

Virtuelna mašina i ransomware

“Trik” koji su osmislili je u stvari jako jednostavan. Umesto direktnog pokretanja malvera na ciljnom uređaju, RagnarLocker preuzima i instalira Oracle VirtualBox koji dalje omogućava pokretanje virtuelne mašine. Zatim konfigurišu virtuelnu mašinu tako da dobije pun pristup svim lokalnim i zajedničkim diskovima, omogućavajući joj interakciju sa fajlovima koji su van njenog skladišta. Sledeći korak je podizanje virtuelne mašine, preko MicroXP v0.82 koji predstavlja “svučenu” verziju Windows XP SP3 operativnog sistema. Finalna faza je učitavanja ransomwara u virtuelnoj mašini i njegovo pokretanje. Zbog toga što je ransomware pokrenut unutar virtuelne mašine, AV softver ne može da detektuje maliciozni proces.

Iz ugla AV rešenja, fajlovi u lokalnom sistemu i zajedničkim diskovima će odjednom biti zamenjeni svojim zaključanim verzijama, a izgledaće kao da sve modifikacije fajlova dolaze preko legitimnog procesa, odnosno VirtualBox aplikacije.

Izvor: ZD net