Οι κυβερνοεγκληματίες χρησιμοποιούν όλο και περισσότερο εικονικές μηχανές (virtual machines) για να παραβιάσουν δίκτυα με ransomware. Χρησιμοποιώντας εικονικές μηχανές ως μέρος των επιθέσεών τους, οι ransomware ομάδες είναι σε θέση να διεξάγουν τη δραστηριότητά τους με επιπλέον «λεπτότητα», επειδή η εκτέλεση του payload σε ένα virtual περιβάλλον μειώνει τις πιθανότητες να γίνει αντιληπτή η δραστηριότητα, έως ότου να είναι πολύ αργά και το ransomware να έχει κρυπτογραφήσει τα αρχεία μιας συσκευής – στόχου.
Κατά τη διάρκεια μιας πρόσφατης έρευνας για μια απόπειρα ransomware επίθεσης, οι ερευνητές ασφαλείας της Symantec διαπίστωσαν ότι οι ransomware «επιχειρήσεις» χρησιμοποιούν το VirtualBox – μια νόμιμη μορφή open-source virtual machine software – για την εκτέλεση instances των Windows 7, προκειμένου να καταστήσουν ευκολότερη την εγκατάσταση του ransomware.
Διαβάστε επίσης: Clop ransomware: Η συμμορία επιστρέφει μετά τις συλλήψεις μελών της
Όπως επισήμανε η Symantec, το ransomware payload “κρύβεται” μέσα σε μία VM ενώ κρυπτογραφεί αρχεία στη συσκευή.
Ενώ μια εικονική μηχανή εκτελείται ξεχωριστά στο μηχάνημα στο οποίο φιλοξενείται, μπορεί να έχει πρόσβαση στα αρχεία και τους καταλόγους του κεντρικού υπολογιστή μέσω κοινόχρηστων φακέλων, τους οποίους οι κυβερνοεγκληματίες μπορούν να εκμεταλλευτούν για να επιτρέψουν στο payload που φιλοξενείται στην εικονική μηχανή να κρυπτογραφήσει αρχεία στον υπολογιστή.
Ενώ οι ερευνητές δεν μπόρεσαν να προσδιορίσουν πλήρως το ransomware που εντοπίστηκε να λειτουργεί σε μια εικονική μηχανή, ο τρόπος που λειτουργούσε το malware παρείχε ισχυρές ενδείξεις ότι πίσω από αυτό βρίσκεται η συμμορία του Conti – μια διαβόητη μορφή ransomware που χρησιμοποιείται από κυβερνοεγκληματίες σε πολλές κακόβουλες εκστρατείες με στόχους υψηλού προφίλ, συμπεριλαμβανομένης της ransomware επίθεσης που έπληξε την εθνική υγειονομική υπηρεσία HSE της Ιρλανδίας.
Δείτε ακόμη: Hackers συνδυάζουν ransomware και DDoS επιθέσεις για να στοχεύσουν θύματα
Ωστόσο, αυτή δεν ήταν η μόνη δραστηριότητα που εντοπίστηκε. Οι ερευνητές βρήκαν στοιχεία που δείχνουν ότι ένας κακόβουλος παράγοντας προσπάθησε να εκτελέσει το Mount Locker στον κεντρικό υπολογιστή. Οι ερευνητές εικάζουν ότι ο εισβολέας προσπάθησε να «τρέξει» το Conti μέσω της εικονικής μηχανής, αλλά, όταν αυτό δεν λειτούργησε, στράφηκε στη χρήση του Mount Locker.
Αυτή δεν είναι η πρώτη φορά που παρατηρήθηκε ransomware ομάδες να χρησιμοποιούν εικονικές μηχανές για την ανάπτυξη ransomware, αλλά οι ερευνητές προειδοποιούν ότι αυτό θα μπορούσε να καταστήσει την ανίχνευση των επιθέσεων πολύ πιο δύσκολη.
Πρόταση: Ransomware: Οι περισσότερες εταιρείες δέχονται και δεύτερη επίθεση αν πληρώσουν λύτρα
Ενώ οι κυβερνοεγκληματίες θα μπορούσαν να στοχεύσουν συσκευές που έχουν ήδη virtual machine περιβάλλοντα, σε αυτήν την περίπτωση φαίνεται να έχουν κατεβάσει τα εργαλεία που τους επιτρέπουν να «τρέχουν». Ο Dick O’Brien, διευθυντής του Symantec Threat Hunter Team, επεσήμανε πως ένας τρόπος αντιμετώπισης αυτού είναι να παρακολουθείτε και να ελέγχετε ποιο software είναι εγκατεστημένο σε μηχανήματα, ώστε δυνητικά κακόβουλα, αλλά νόμιμα, εργαλεία να μη μπορούν να γίνουν download χωρίς έγκριση.
Πηγή πληροφοριών: zdnet.com
