Cover Image

Dimentica BYOD, questo è BYOVM: il ransomware cerca di sfuggire all'antivirus nascondendosi in una macchina virtuale su sistemi infetti

22 Maggio 2020 - Tempo di lettura: 3 minuti

Come Inception, ma costoso e deludente. Quindi... proprio come Inception.

Con gli strumenti antivirus sempre più saggi ai comuni trucchi di infezione, un gruppo di estorsori ha fatto il passo insolito di riporre il proprio ransomware all'interno della propria macchina virtuale.

Secondo Vikas Singh, Gabor Szappanos e Mark Loman di Sophos, i criminali hanno infilato il maledetto Ragnar Locker in una macchina virtuale che esegue una variante di Windows XP, chiamata MicroXP.

Quindi, una volta che i criminali si sono infiltrati nella rete di una vittima e hanno ottenuto l'accesso amministrativo - in genere tramite una casella RDP debole o un provider di servizi compromessi - scaricano la VM, insieme all'hypervisor VirtualBox di Oracle per eseguirla, su ogni macchina in cui possono entrare.
Durante l'installazione, i backup, sotto forma di volumi shadow, vengono eliminati in modo che non possano essere utilizzati per ripristinare i documenti crittografati dal ransomware.

Successivamente, il sistema host è configurato in modo tale che il ransomware nella macchina virtuale possa accedere a qualsiasi unità di archiviazione connessa, sia essa collegata o mappata sulla rete.

Quindi, tutti i programmi e servizi indesiderati, come strumenti di gestione remota e utilità di backup apparentemente scelti in base alla vittima, vengono chiusi e la macchina virtuale viene avviata.

Il ransomware fa quindi il suo lavoro, crittografando i file sul computer host e lascia una richiesta di riscatto che richiede denaro per ripristinare i dati crittografati.
Si presume che questo sia fatto per sfuggire alle suite antivirus e ad altri meccanismi di sicurezza, nascondendo il codice dannoso in una piccola macchina virtuale RAM da 256 MB di singolo vCPU, sebbene Sophos abbia affermato che è stata rilevata un'infezione, quindi non è completamente infallibile.

"Il payload di attacco era un programma di installazione di 122 MB con all'interno un'immagine virtuale di 282 MB", ha osservato Loman di Sophos, "tutto per nascondere un eseguibile ransomware da 49 KB".

Ha aggiunto: "Poiché l'applicazione ransomware vrun.exe viene eseguita all'interno della macchina guest virtuale, i suoi processi e comportamenti possono essere eseguiti senza ostacoli, poiché sono fuori portata per il software di sicurezza sulla macchina host fisica. I dati su dischi e unità accessibili sulla macchina fisica viene attaccata dal processo 'legittimo' VboxHeadless.exe, il software di virtualizzazione VirtualBox.

"Ci viene detto che i maltrattamenti dietro questo malware sono noti per rubare copie dei dati delle organizzazioni e crittografarli, che viene utilizzato per fare pressione sulle vittime affinché paghino: in caso contrario, le informazioni interne sensibili verrebbero divulgate o vendute ad altri hacker.

"Ad aprile, gli attori dietro Ragnar Locker hanno attaccato la rete di Energias de Portugal (EDP) e hanno affermato di aver rubato 10 terabyte di dati sensibili dell'azienda, chiedendo un pagamento di 1.580 Bitcoin (circa $ 11 milioni) e minacciando di rilasciare i dati se il il riscatto non è stato pagato", ha osservato Loman.

"Negli attacchi precedenti, il gruppo Ragnar Locker ha utilizzato exploit di provider di servizi gestiti o attacchi a connessioni RDP (Remote Desktop Protocol) per ottenere un punto d'appoggio su reti mirate.

Dopo aver ottenuto l'accesso a livello di amministratore al dominio di una destinazione e l'esfiltrazione di dati, hanno utilizzato strumenti amministrativi nativi di Windows come Powershell e Windows Group Policy Objects (GPOs) per spostarsi lateralmente attraverso la rete verso client e server Windows."

intopic.it