Δευτέρα, 22 Φεβρουαρίου, 09:27
Αρχική security Ransomware κρύβεται σε εικονικές μηχανές για να μην είναι ανιχνεύσιμο!

Ransomware κρύβεται σε εικονικές μηχανές για να μην είναι ανιχνεύσιμο!

Οι χειριστές του RagnarLocker ransomware εγκαθιστούν την εφαρμογή VirtualBox και εκτελούν εικονικές μηχανές στους υπολογιστές που μολύνουν, έχοντας ως στόχο να εκτελέσουν το ransomware με τέτοιον τρόπο ώστε να μην ανιχνεύεται από λογισμικά antivirus. Αυτό το τέχνασμα μόλις εντοπίστηκε και αναλύθηκε από τη βρετανική εταιρεία κυβερνοασφάλειας Sophos, υποδεικνύοντας τη δημιουργικότητα και τις μεγάλες προσπάθειες ορισμένων συμμοριών ransomware να αποφύγουν τον εντοπισμό τους κατά τις επιθέσεις τους.

Τί είναι η “RagnarLocker”;
Η RagnarLocker δεν αποτελεί μια συνηθισμένη συμμορία ransomware. Πρόκειται για μια ομάδα που επιλέγει προσεκτικά τους στόχους της, αποφεύγοντας τους οικιακούς καταναλωτές και στοχοποιώντας μόνο εταιρικά δίκτυα και κυβερνητικούς οργανισμούς. Η Sophos επισημαίνει πως η συγκεκριμένη ομάδα έχει στοχοποιήσει στο παρελθόν θύματα καταχρώντας τα τελικά σημεία RDP που έχουν εκτεθεί στο διαδίκτυο, ενώ έχει ακόμη θέσει σε κίνδυνο τα εργαλεία MSP, για να παραβιάσει εταιρείες και να αποκτήσει πρόσβαση στα εσωτερικά τους δίκτυα. Σε αυτά τα δίκτυα, η ομάδα RagnarLocker αναπτύσσει μια έκδοση του ransomware της, η οποία προσαρμόζεται σε κάθε θύμα, και στη συνέχεια απαιτεί ένα αστρονομικό ποσό αποκρυπτογράφησης σε δεκάδες και εκατοντάδες χιλιάδες δολάρια ΗΠΑ. Επειδή καθεμιά από αυτές τις προσεκτικά σχεδιασμένες επιθέσεις είναι για την ομάδα καλή ευκαιρία να κερδίσει μεγάλα χρηματικά ποσά, η RagnarLocker βρήκε ένα νέο τέχνασμα για να αποφύγει τον εντοπισμό της από κάποιο λογισμικό antivirus. Αυτό το τέχνασμα σχετίζεται με τις εικονικές μηχανές. Πρόκειται για ένα απλό και έξυπνο τέχνασμα, κατά το οποίο η συμμορία RagnarLocker αντί να εκτελεί το ransomware απευθείας στον υπολογιστή που θέλει να κρυπτογραφήσει, κατεβάζει και εγκαθιστά το Oracle VirtualBox, έναν τύπο λογισμικού που επιτρέπει στους χρήστες να εκτελούν εικονικές μηχανές. Στη συνέχεια, η ομάδα διαμορφώνει την εικονική μηχανή για να της παρέχει πλήρη πρόσβαση σε όλες τις τοπικές και κοινόχρηστες μονάδες δίσκου, επιτρέποντας στην εικονική μηχανή να αλληλεπιδρά με αρχεία που είναι αποθηκευμένα εκτός του δικού της χώρου αποθήκευσης. Το επόμενο βήμα είναι η εκκίνηση της εικονικής μηχανής, με την εκτέλεση μιας απογυμνωμένης έκδοσης του λειτουργικού συστήματος Windows XP SP3, που ονομάζεται MicroXP v0.82.

Στην τελευταία φάση της επίθεσης, η RagnarLocker φορτώνει το ransomware μέσα στην εικονική μηχανή (VM) και το εκτελεί. Επειδή το ransomware εκτελείται μέσα στην VM, το λογισμικό antivirus δεν θα μπορεί να εντοπίσει την malware δραστηριότητα του ransomware. Όσον αφορά το λογισμικό antivirus, τα αρχεία στο σύστημα θα αντικατασταθούν από τις κρυπτογραφημένες εκδόσεις τους, ενώ όλες οι τροποποιήσεις των αρχείων θα φαίνεται ότι προέρχονται από την εφαρμογή VirtualBox. Ο Mark Loman, διευθυντής μηχανικής και μετριασμού απειλών στην Sophos, δήλωσε στο ZDNet ότι είναι η πρώτη φορά που εντοπίζουν μια συμμορία ransomware που κάνει κατάχρηση εικονικών μηχανών κατά τη διάρκεια μιας επίθεσης, προσθέτοντας πως τους τελευταίους μήνες, έχουν δει τα ransomware να εξελίσσονται με πολλούς και διάφορους τρόπους, ωστόσο, η RagnarLocker φαίνεται να έχει εξελίξει σε άλλο επίπεδο το ransomware.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...