Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Computer Security O Grupo Ragnarlocker Usa Máquinas Virtuais para Enganar...

O Grupo Ragnarlocker Usa Máquinas Virtuais para Enganar Softwares de Segurança

Por Rencio em Computer Security
Traduzir Para:
Português

Ragnarlocker ransomware ataque vm O Ragnarlocker é uma variedade de ransomware associada e administrada por um grupo homônimo de maus atores. O ransomware existe há apenas alguns meses, com os primeiros ataques conhecidos usando o Ragnalocker ocorrendo em dezembro de 2019, mas ele já está apresentando novos truques.

Os especialistas em segurança da Sophos notaram um novo ataque usando o Ragnarlocker em maio de 2020, mas desta vez a abordagem foi muito incomum. Os maus autores primeiro instalaram o VirtualBox - um aplicativo de virtualização de código aberto - no sistema da vítima e depois implantaram o ransomware na máquina virtual (VM). Isso permite que o ransomware seja executado em um ambiente isolado, oculto do software de segurança em execução no sistema físico real.

Hackers Abusam do VMs para Evitar a Detecção

O novo truque que o Ragnarlocker usa para implantar e evitar a detecção é relativamente simples, mas inteligente. O ransomware baixa e instala o VirtualBox e configura a VM para permitir acesso total às unidades físicas do sistema infectado, o que permite que qualquer coisa em execução na VM afete a máquina física. Em seguida, o ransomware carrega uma versão primitiva do Windows XP na VM, antes de finalmente carregar a carga útil real dentro da VM. Devido ao fato do ransomware ser executado dentro dos limites da máquina virtual, qualquer software anti-vírus instalado no sistema físico da vítima não poderá detectar nenhuma atividade maliciosa.

O software de segurança visualiza as alterações feitas nos arquivos criptografados como originárias do processo legítimo e seguro do VirtualBox e não há sinalização vermelha, permitindo que o ransomware funcione em paz. Os pesquisadores da Sophos também observaram que é a primeira vez que observam um ransomware abusando de uma máquina virtual para infectar alvos.

O Ragnarlocker é um grupo relativamente em destaque, direcionado apenas a organizações e empresas, em vez de usuários domésticos. Os resgates exigidos pelo grupo costumam chegar a centenas de milhares de dólares e personalizam a carga útil de cada uma de suas vítimas.

Carregando...