Af Eskil Sørensen, 29/05/20
En ny, hidtil ukendt metode til spredning af ransomware er kommet for en dag, da den såkaldte Ragnar Locker er blev opdaget placeret i en Oracle VirtuelBox Windows XP virtuel maskine-instans.
I det seneste angreb på det Portugisiske energiselskab EDP, har gruppen bag Ragnar Locker brugt en virtuel maskine til at skjule sin ransomware. Ragnar Locker ransomwaren blev indsat i en Oracle VirtualBox Windows XP virtuel maskine. Payloaded skjultes i et 122 MB-installationsprogram med et virtuelt 282 MB-image til at skjule en eksekverbar ransomware på 49 kB. I det aktuelle angreb brugte Ragnar Locker en GPO til at aktivere Microsoft Installer (msiexec.exe), for at downloade og installere en 122 MB usigneret MSI-pakke fra en ekstern webserver.
Ragnar Locker har tidligere brugt exploits i managed service providers eller angreb mod Windows Remote Desktop Protocol (RDP) til at få fodfæste i netværket. Med dette er der opnået administratorrettigheder, som er blevet brugt til – via almindelige værktøjer som Powershell og Windows Group Policy Objects (GPO) – at komme rundt på netværket.
MSP-funktion sættes ud af kraft
Mens mange ransomware infektioner sætter sikkerhedsprogrammer ud af kraft, hvorved det kan opdages af overvågningssoftware før kryptering, så går Ragner Locker et skridt videre ved også at slukke for managed service providers-enhederne (MSP). På den måde stoppes MSP’ernes evne til at opdage et angreb.
Dermed er Ragnar Locker er langt mere avanceret end de hidtil kendte metoder. Således kan Ragner Locker indsættes i de virtuelle maskiner og herfra afvikle ransomwaresoftwaren til kryptering af filerne. Dermed ser sikkerhedsprogrammet, som kører fra MSP’en, ikke ransomwareprogrammet, da det fejlagtigt tror, det er en almindelig intern proces.
Virtual Box har bl.a. en feature, som tillader værtens operativsystem at dele mapper og drev som et internt netværk inden for en virtuel maskine. Dette gør det muligt for den virtuelle maskine at bruge den fælles sti som et netværksdrev fra den virtuelle computer. Dette betyder, at ransomware i gæstemiljøet nu fuldt ud kan få adgang til værtens lokale diske, mappede netværk og drev og derved kan ransomwaren eksekveres fra den virtuelle maskine.
Ifølge Bleeping Computer så skulle man være beskyttet, hvis man kører med en Windows 10’s Controlled Folder Acces anti-ransomware-feature.