Ataque de ransomware Ragnar Locker se esconde dentro de máquina virtual

Views: 609
0 0
Read Time:2 Minute, 7 Second

Os criadores de ameaças desenvolveram um novo tipo de ataque de ransomware que usa máquinas virtuais, revelou Sophos quinta-feira em um post no blog.

Pesquisadores da Sophos detectaram recentemente um ataque de ransomware Ragnar Locker que “leva a evasão de defesa a um novo nível”. De acordo com o post, a variante do ransomware foi implantada dentro de uma máquina virtual do Windows XP, a fim de ocultar o código malicioso da detecção de antimalware. A máquina virtual inclui uma versão antiga do Sun xVM VirtualBox, que é um hipervisor de código aberto gratuito que foi adquirido pela Oracle quando adquiriu a Sun Microsystems em 2010.

“No ataque detectado, os atores do Ragnar Locker usaram uma tarefa gpo para executar o Microsoft Installer (msiexec.exe), passando parâmetros para baixar e instalar silenciosamente um pacote MSI de 122 MB criado e sem assinatura a partir de um servidor web remoto”, escreveu Mark Loman, diretor de engenharia da Sophos para mitigação de ameaças, no post.

O pacote MSI continha sun xVM virtualbox versão 3.0.4, que foi lançado em agosto de 2009, e “uma imagem de uma versão despojada do sistema operacional Windows XP SP3, chamada MicroXP v0.82”. Nessa imagem está um arquivo executável 49 KB Ragnar Locker.

“Uma vez que o aplicativo vrun.exe ransomware é executado dentro da máquina de hóspedes virtuais, seu processo e comportamentos podem ser executados sem obstáculos, porque eles estão fora de alcance para software de segurança na máquina de host físico”, escreveu Loman.

Esta foi a primeira vez que a Sophos viu máquinas virtuais usadas para ataques de ransomware, disse Loman.

Não está claro quantas organizações foram afetadas por este ataque recente e quão generalizado foi. Sophos não estava disponível para comentar na hora da imprensa. No passado, o grupo de ransomware Ragnar Locker tinha como alvo provedores de serviços gerenciados e usava seu acesso remoto aos clientes para infectar mais organizações.

Em outras notícias da Sophos, a empresa publicou uma atualização quinta-feira sobre os ataques ao Sophos XG Firewalls. Os atores de ameaças usaram um Trojan Sophos personalizado chamada “Asnarök” para explorar uma vulnerabilidade SQL de zero dias nos firewalls, que o fornecedor rapidamente corrigiu através de um hotfix. Os pesquisadores da Sophos disseram que os atacantes asnarök tentaram contornar o hotfix e implantar ransomware em ambientes de clientes. No entanto, Sophos disse que tomou outras medidas para mitigar a ameaça além do hotfix, o que impediu os ataques modificados.

FONTE: SEARCHSECURITY

POSTS RELACIONADOS