Idzie nowe w ransomware. Instalują w atakowanej sieci maszyny wirtualne z windows XP żeby uniknąć detekcji przez antywirusy! [Ragna locker]

O dosyć zaskakującej technice pisze Sophos. W trakcie infekcji używany jest instalator o „wadze” 122MB, zawierający 282 megabajtową wirtualkę, a wszystko po to żeby ukryć 49 kilobajtową binarkę ransomware:

A new ransomware attack method takes defense evasion to a new level—deploying as a full virtual machine on each targeted device to hide the ransomware from view. In a recently detected attack, Ragnar Locker ransomware was deployed inside an Oracle VirtualBox Windows XP virtual machine. The attack payload was a 122 MB installer with a 282 MB virtual image inside—all to conceal a 49 kB ransomware executable.

Czyli innymi słowy, po udanej infekcji mamy w sieci nowy komputer (wirtualka z Windows XP), który jest zainfekowany, który jest bez systemu antymalware, który może atakować inne komputery. Na pewno atakuje lokalną maszynę, której dyski są mapowane oraz szyfrowane. Co ciekawe obraz wirtualki przygotowywany jest względnie w sposób dedykowany dla konkretnej ofiary-firmy (wyświetla bowiem dedykowany komunikat z żądaniem okupu – zawierający nazwę zaatakowanej firmy).

Po co ta cała „zabawa”? Aby ukryć działanie malware przed antywirusami:

Since the vrun.exe ransomware application runs inside the virtual guest machine, its process and behaviors can run unhindered, because they’re out of reach for security software on the physical host machine. The data on disks and drives accessible on the physical machine are attacked by the “legitimate” VboxHeadless.exe process, the VirtualBox virtualization software.

–ms