Ragnar Locker Ransomware usa Oracle VirtualBox para robar datos

Taquilla Ragnar pandilla está pensando fuera de la caja, para entrar en la caja! Pensaría lo mismo si supiera cómo este grupo de ransomware subió al siguiente nivel para robar los datos de su computadora. Ragnar Locker se ha actualizado con un nuevo y sencillo truco de software antivirus en el sistema y el robo de información confidencial. ¡Esto se lleva a cabo instalando y ejecutando su malware ransomware dentro de una caja virtual!

El nuevo método

Ragnar Locker Ransomware usa Oracle VirtualBox para robar datos
Ragnar Locker Ransomware usa Oracle VirtualBox para robar datos

El grupo de ransomware Ragnar Locker tiene un historial previo de dirigirse a entidades en lugar de individuos. ¡Esta pandilla golpeó recientemente Energias de Portugal (EDP) y robó datos por valor de 10 TB por un precio de rescate de 1,580 Bitcoin! El ransomware Ragnar Locker selecciona cuidadosamente sus objetivos, principalmente empresas y gobiernos, y crea malware personalizado en consecuencia. Esto es para ahorrar cientos de miles de dólares en pagos fijos en lugar de pequeñas propinas de los usuarios domésticos.

Y este ransomware evolucionó con un nuevo truco para esconderse mejor. ¡Esto se hace usando el antiguo software VirtualBox de Oracle! Como empresa de ciberseguridad, Sophos reveló, se descubrió que el grupo Ragnar Locker estaba cambiando su enfoque a Virtual Boxes, lejos de Windows RDP, Managed Service Provider, PowerShell, etc., como en ataques anteriores.

VirtualBox instalado en Archivos de programa desde el disco C:.
VirtualBox instalado en Archivos de programa desde el disco C:.

¿Cómo funciona eso?

Todo comienza con la elección de una computadora de destino y la instalación de Microsoft Installer a través de los objetivos de política de grupo (GPO) de Windows. Esto permite que el grupo omita los parámetros de seguridad y adquiera e instale un paquete MSI sin firmar desde un servidor web remoto.

Este paquete contiene el antiguo hipervisor Oracle VirtualBox y un archivo de imagen de disco virtual de Sistema operativo Windows XP SP3. Esta es una versión simplificada y se llama MicroXP v0.82. ¡Esta imagen también contiene un ejecutable de ransomware Ragnar Locker por valor de 49 kB!

Se instaló dentro de Oracle VirtualBox para evitar la detección, ya que el antivirus lee que las acciones realizadas en Virtual Box son software legítimo de Oracle, por lo tanto, se consideran seguras. Este software tiene acceso a todos los discos locales y compartidos, lo que le da al hacker acceso a todos ellos para su exfiltración. Los investigadores dicen que esta es la primera vez que un grupo de ransomware ha explotado Virtual Box para sus operaciones.

Fuente: Sophos