Шифровальщик Ragnar Locker заметает следы через виртуальные машины

Опубликовано at 18:07
161 0

Эксперты Sophos отмечают, что в лице нового зловреда впервые видят шифровальщика, который использует виртуальные машины для сокрытия своих действий.

Как оказалось, операторы малвари Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в зараженной системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.

Как правило, Ragnar Locker атакует компании прицельно и занимается исключительно крупными предприятиями. Действия вредоноса тщательно настраиваются под конкретную жертву. За расшифровку данных требуется весьма солидный по меркам бизнеса выкуп ­в размере от нескольких десятков до сотен тысяч долларов США. Встречаются и гораздо более серьезные случаи.

Хитроумная атака происходит по такому алгоритму: непосредственно на самом компьютере, который нужно зашифровать, хакеры загружают и устанавливают Oracle VirtualBox. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, и дают ей разрешение взаимодействовать с файлами, расположенными вне ее собственного хранилища.

Внутри виртуальной машины загружается и запускается и сам Ragnar Locker.

Исследователи отмечают, что в итоге полезная нагрузка атаки — это установщик объемом 122 Мб и виртуальный образ, размером 282 Мб. Все эти телодвижения нужны для сокрытия исполняемого файла вируса размером 49 Кб. ­

Так как вымогатель и его процесс vrun.exe работают внутри виртуальной машины, антивирусное ПО оказывается не в силах его обнаружить. Как бороться с таким хитроумным ходом, пока не ясно.

Ранее в апреле операторы Ragnar Locker зашифровали компьютерные системы португальского транснационального энергетического гиганта Energias de Portugal (EDP) и потребовали выкуп в 1580 биткойнов (это сегодня около $11 млн).

В результате атаки им удалось похитить более 10 ТБ конфиденциальных файлов компании. Вымогатели угрожают EDP опубликовать украденные данные и уведомить об этом всех ее клиентов и партнеров, если выкуп не будет выплачен.

Преступники уже опубликовали некоторую часть похищенных данных в качестве предупреждения, включая файл edpradmin2.kdb, являющийся базой данных менеджера паролей KeePass, а также учетные данные пользователей, URL-адреса и заметки сотрудников EDP.

Хакеры также настаивают, что им удалось украсть конфиденциальную информацию о выставлении счетов, контрактах, транзакциях, клиентах и ​​партнерах.

Великодушные операторы Ragnar Locker предложили EDP скидку на выкуп, если они согласятся заплатить выкуп в течение двух дней после того, как их системы были зашифрованы.

EDP ​является четвертым в мире производителем ветровой электроэнергии. Компания представлена ​​в 19 странах и на 4 континентах, имеет более 11 500 сотрудников и обеспечивает энергией более 11 млн клиентов.

McAfee описали Ragnar Locker в феврале этого года, афера с EDP — первое крупное «дело» операторов зловреда.

Читайте также на АКБ:

Хакеры вынесли 10 терабайт данных у португальского энергогиганта EDP

Подписываемся, следим @CyberAgency

Related Post

Google объявил шпионское ПО вне закона

Опубликовано - 10.07.2020 0
Google обновил свою рекламную политику, в которой с 11 августа не найдется места программам типа stalkerware. Stalkerware позволяет злоумышленникам следить…

Консерваторы заставят соцсети почистить старые записи

Опубликовано - 16.05.2017 0
Консервативная партия Великобритании в своем предвыборном манифесте, который будет обнародован на этой неделе, пообещает дать интернет-пользователям возможность удалить все записи…