Οι χειριστές του RagnarLocker ransomware εγκαθιστούν την εφαρμογή VirtualBox και εκτελούν εικονικές μηχανές στους υπολογιστές που μολύνουν, έχοντας ως στόχο να εκτελέσουν το ransomware με τέτοιον τρόπο ώστε να μην ανιχνεύεται από λογισμικά antivirus. Αυτό το τέχνασμα μόλις εντοπίστηκε και αναλύθηκε από τη βρετανική εταιρεία κυβερνοασφάλειας Sophos, υποδεικνύοντας τη δημιουργικότητα και τις μεγάλες προσπάθειες ορισμένων συμμοριών ransomware να αποφύγουν τον εντοπισμό τους κατά τις επιθέσεις τους.
Τί είναι η “RagnarLocker”;
Η RagnarLocker δεν αποτελεί μια συνηθισμένη συμμορία ransomware. Πρόκειται για μια ομάδα που επιλέγει προσεκτικά τους στόχους της, αποφεύγοντας τους οικιακούς καταναλωτές και στοχοποιώντας μόνο εταιρικά δίκτυα και κυβερνητικούς οργανισμούς. Η Sophos επισημαίνει πως η συγκεκριμένη ομάδα έχει στοχοποιήσει στο παρελθόν θύματα καταχρώντας τα τελικά σημεία RDP που έχουν εκτεθεί στο διαδίκτυο, ενώ έχει ακόμη θέσει σε κίνδυνο τα εργαλεία MSP, για να παραβιάσει εταιρείες και να αποκτήσει πρόσβαση στα εσωτερικά τους δίκτυα. Σε αυτά τα δίκτυα, η ομάδα RagnarLocker αναπτύσσει μια έκδοση του ransomware της, η οποία προσαρμόζεται σε κάθε θύμα, και στη συνέχεια απαιτεί ένα αστρονομικό ποσό αποκρυπτογράφησης σε δεκάδες και εκατοντάδες χιλιάδες δολάρια ΗΠΑ. Επειδή καθεμιά από αυτές τις προσεκτικά σχεδιασμένες επιθέσεις είναι για την ομάδα καλή ευκαιρία να κερδίσει μεγάλα χρηματικά ποσά, η RagnarLocker βρήκε ένα νέο τέχνασμα για να αποφύγει τον εντοπισμό της από κάποιο λογισμικό antivirus. Αυτό το τέχνασμα σχετίζεται με τις εικονικές μηχανές. Πρόκειται για ένα απλό και έξυπνο τέχνασμα, κατά το οποίο η συμμορία RagnarLocker αντί να εκτελεί το ransomware απευθείας στον υπολογιστή που θέλει να κρυπτογραφήσει, κατεβάζει και εγκαθιστά το Oracle VirtualBox, έναν τύπο λογισμικού που επιτρέπει στους χρήστες να εκτελούν εικονικές μηχανές. Στη συνέχεια, η ομάδα διαμορφώνει την εικονική μηχανή για να της παρέχει πλήρη πρόσβαση σε όλες τις τοπικές και κοινόχρηστες μονάδες δίσκου, επιτρέποντας στην εικονική μηχανή να αλληλεπιδρά με αρχεία που είναι αποθηκευμένα εκτός του δικού της χώρου αποθήκευσης. Το επόμενο βήμα είναι η εκκίνηση της εικονικής μηχανής, με την εκτέλεση μιας απογυμνωμένης έκδοσης του λειτουργικού συστήματος Windows XP SP3, που ονομάζεται MicroXP v0.82.
Στην τελευταία φάση της επίθεσης, η RagnarLocker φορτώνει το ransomware μέσα στην εικονική μηχανή (VM) και το εκτελεί. Επειδή το ransomware εκτελείται μέσα στην VM, το λογισμικό antivirus δεν θα μπορεί να εντοπίσει την malware δραστηριότητα του ransomware. Όσον αφορά το λογισμικό antivirus, τα αρχεία στο σύστημα θα αντικατασταθούν από τις κρυπτογραφημένες εκδόσεις τους, ενώ όλες οι τροποποιήσεις των αρχείων θα φαίνεται ότι προέρχονται από την εφαρμογή VirtualBox. Ο Mark Loman, διευθυντής μηχανικής και μετριασμού απειλών στην Sophos, δήλωσε στο ZDNet ότι είναι η πρώτη φορά που εντοπίζουν μια συμμορία ransomware που κάνει κατάχρηση εικονικών μηχανών κατά τη διάρκεια μιας επίθεσης, προσθέτοντας πως τους τελευταίους μήνες, έχουν δει τα ransomware να εξελίσσονται με πολλούς και διάφορους τρόπους, ωστόσο, η RagnarLocker φαίνεται να έχει εξελίξει σε άλλο επίπεδο το ransomware.