Idzie nowe w ransomware. Instalują w atakowanej sieci maszyny wirtualne z windows XP żeby uniknąć detekcji przez antywirusy! [Ragna locker]

22 maja 2020, 13:27 | W biegu | komentarze 3
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

O dosyć zaskakującej technice pisze Sophos. W trakcie infekcji używany jest instalator o „wadze” 122MB, zawierający 282 megabajtową wirtualkę, a wszystko po to żeby ukryć 49 kilobajtową binarkę ransomware:

A new ransomware attack method takes defense evasion to a new level—deploying as a full virtual machine on each targeted device to hide the ransomware from view. In a recently detected attack, Ragnar Locker ransomware was deployed inside an Oracle VirtualBox Windows XP virtual machine. The attack payload was a 122 MB installer with a 282 MB virtual image inside—all to conceal a 49 kB ransomware executable.

Czyli innymi słowy, po udanej infekcji mamy w sieci nowy komputer (wirtualka z Windows XP), który jest zainfekowany, który jest bez systemu antymalware, który może atakować inne komputery. Na pewno atakuje lokalną maszynę, której dyski są mapowane oraz szyfrowane. Co ciekawe obraz wirtualki przygotowywany jest względnie w sposób dedykowany dla konkretnej ofiary-firmy (wyświetla bowiem dedykowany komunikat z żądaniem okupu – zawierający nazwę zaatakowanej firmy).

Po co ta cała „zabawa”? Aby ukryć działanie malware przed antywirusami:

Since the vrun.exe ransomware application runs inside the virtual guest machine, its process and behaviors can run unhindered, because they’re out of reach for security software on the physical host machine. The data on disks and drives accessible on the physical machine are attacked by the “legitimate” VboxHeadless.exe process, the VirtualBox virtualization software.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. TargiExpo

    exposedbotnets.com wrzucał kiedyś sporo tworów od script-kiddies. Wierzyć się nie chce, że ludzie jeszcze łykają wirusy i później jeszcze płacą okup.
    Do posłuchania Dj electro roll – Danger

    Odpowiedz
  2. Mateusz

    Ten ransomware powinien jeszcze wysyłać informację do Microsoftu, że wewnątrz organizacji znajduje się instalacja Windowsa XP na którą firma prawdopodobnie nie ma licencji. I cyk audycik.

    Odpowiedz
  3. Slawek
    Odpowiedz

Odpowiedz na Mateusz