Специалисты компании Sophos обнаружили, что операторы малвари Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в зараженной системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.
Ragnar Locker — не совсем обычный шифровальщик. Так, его операторы тщательно выбирают цели для атак и не интересуются обычными домашними пользователями. Обычно группировка сосредотачивает свои усилия исключительно на корпоративных сети и правительственных организациях. По данным Sophos, в прошлом эта хак-группа эксплуатировала эндпоинты с RDP, доступные из интернета, а также компрометировала поставщиков управляемых услуг (Managed services providers, MSP), чтобы получить доступ к внутренним сетям компаний.
В скомпрометированных сетях группировка разворачивает Ragnar Locker, тщательно настроив шифровальщика под конкретную жертву. Затем хакеры требуют огромный выкуп за расшифровку данных (в размере от нескольких десятков до сотен тысяч долларов США). К примеру, в апреле текущего года RagnarLocker атаковал сеть энергетического гиганта Energias de Portugal (EDP). Тогда хакеры утверждали, что похитили 10 терабайт конфиденциальных данных и требовали выкуп в размере 1580 биткотнов (примерно 11 млн долларов США), угрожая обнародовать данные, если выкуп не будет выплачен.
Из-за используемой тактики операторам Ragnar Locker крайне важна скрытность. Поэтому недавно группировка разработала новый прием, чтобы избежать обнаружения антивирусным ПО.
Вместо того, чтобы запускать малварь непосредственно на самом компьютере, который нужно зашифровать, хакеры загружают и устанавливают Oracle VirtualBox. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, а также позволяя взаимодействовать с файлами, расположенными вне ее собственного хранилища.
В итоге на зараженной машине осуществляется загрузка виртуальной машины с урезанной версией Windows XP SP3, которая называется MicroXP v0.82. Затем внутри ВМ загружается и запускается и сам Ragnar Locker. Исследователи отмечают, что в итоге полезная нагрузка атаки — это установщик объемом 122 Мб и виртуальный образ, размером 282 Мб. И все это для сокрытия исполняемого файла малвари размером 49 Кб.
Так как вымогатель и его процесс vrun.exe работают внутри виртуальной машины, антивирусное ПО оказывается не в силах его обнаружить. С точки зрения антивируса, файлы в локальной системе и на общих дисках внезапно заменяются зашифрованными версиями, но все модификации исходят от легитимного процесса VboxHeadless.exe, то есть за все это ответственно приложение VirtualBox.
Эксперты Sophos отмечают, что впервые видят шифровальщика, который использует виртуальные машины.
«В последние несколько месяцев мы наблюдали развитие вымогателей по нескольким направлениям. Но операторы Ragnar Locker выводят вымогатели на новый уровень и мыслят крайне нестандартно», — пишут специалисты.