Onderzoekers hebben een ransomware-exemplaar ontdekt dat bestanden van slachtoffers vanuit een speciaal geïnstalleerde Windows XP virtual machine versleutelt. Een maatregel die detectie door beveiligingssoftware moet voorkomen, zo stelt antivirusbedrijf Sophos in een analyse.
De ransomware in kwestie wordt Ragnar Locker of Ragnarok genoemd en was eerder verantwoordelijk voor aanvallen op de Portugese energiemaatschappij Energias de Portugal (EDP) en klanten van managed service providers. Onlangs probeerden aanvallers nog een zerodaylek in de firewalls van Sophos te gebruiken om Ragnar Locker te verspreiden. Daarnaast maken de aanvallers gebruik van een bekende kwetsbaarheid in Citrix om toegang tot systemen te krijgen. Ook wordt het Remote Desktop Protocol (RDP) van Windows hiervoor gebruikt.
Zodra er toegang tot een systeem is verkregen proberen de aanvallers domeinbeheerder van het gehele netwerk te worden en zo overige systemen te infecteren en te versleutelen. Bij de aanval waarover Sophos schrijft werd er een Group Policy Object voor alle systemen ingesteld om een 122MB groot installatieprogramma van virtualisatiesoftware VirtualBox en een 282MB grote Windows XP virtual machine te downloaden. Vervolgens werd vanuit de virtual machine het Ragnar Locker-bestand van 49KB geladen.
Een virtual machine wordt vaak gebruikt om een besturingssysteem los van het onderliggende besturingssysteem te draaien. Dit wordt bijvoorbeeld gedaan voor het onderzoeken van malware. De virtual machine wordt dan zo ingesteld dat het onderliggende besturingssysteem niet vanuit de virtual machine benaderbaar is. Het is echter ook mogelijk om de schijven van het onderliggende besturingssysteem in de virtual machine beschikbaar te maken. En dat is precies wat Ragnar Locker doet.
Alle lokale schijven, externe schijven en gekoppelde netwerkschijven die voor de fysieke machine benaderbaar zijn worden toegankelijk gemaakt binnen de virtual machine. Naast het koppelen van alle beschikbare schijven probeert Ragnar Locker ook aanwezige antivirussoftware uit te schakelen en verwijdert aanwezige schaduwkopieën, zodat slachtoffers niet eenvoudig de versleutelde data kunnen herstellen. Uiteindelijk wordt vanuit de virtual machine de ransomware gestart die op alle toegankelijke schijven de bestanden versleutelt en een bericht achterlaat dat er moet worden betaald voor het ontsleutelen van de data.
Reden voor deze werkwijze is het ontlopen van de aanwezige beveiligingssoftware. "Aangezien de ransomware binnen de virtual guest machine wordt geladen, kunnen diens processen ongestoord draaien, aangezien ze niet toegankelijk zijn voor beveiligingssoftware op de fysieke computer. De data die op schijven van en via de fysieke machine toegankelijk is wordt aangevallen door de legitieme VirtualBox-software", stelt onderzoeker Mark Loman.
Deze posting is gelocked. Reageren is niet meer mogelijk.