Ragnar Locker, il ransomware in una macchina virtuale per eludere i software di sicurezza

Ragnar Locker, il ransomware in una macchina virtuale per eludere i software di sicurezza

Si chiama Ragnar Locker ed è una testimonianza dell'inventiva dei cybercrminali. Si tratta di un ransomware che si nasconde all'interno di una macchina virtuale per non essere rilevato dai software di sicurezza tradizionali

di pubblicata il , alle 11:01 nel canale Security
Sophos
 

Spazio, ultima frontiera? Nel mondo della cybersicurezza si va, per certi versi, quasi nella fantascienza: l'ultima scoperta di Sophos è quella di un malware che si nasconde all'interno di una macchina virtuale per eludere il software di protezione. L'azienda ha soprannominato questo nuovo ransomware "Ragnar Locker", giocando col nome del famoso Ragnarøk della tradizione nordica.

Ragnar Locker: il ransomware si nasconde in una macchina virtuale

Ragnar Locker

L'idea alla base di Ragnar Locker è relativamente semplice: se i software per la sicurezza informatica rilevano i malware installati sul computer, è possibile installare questi ultimi all'interno di una macchina virtuale da eseguire sui computer vittima. In questo modo il malware è quasi completamente isolato e non può essere direttamente rilevato o rimosso dal software antivirus.

Stando a quanto scoperto da Sophos, Ragnar Locker funziona in questo modo:

  • viene scaricato un installer che procede a installare VirtualBox in una versione del 2009, assieme a un disco virtuale su cui è installato Windows XP SP3 in una versione chiamata MicroXP. Tale macchina dispone di 256 MB di RAM, di una sola CPU e di un disco da 299 MB;
  • vengono disabilitate le funzionalità di rilevamento dell'hardware (la funzionalità AutoPlay che mostra le notifiche quando si connette qualche periferica) e vengono installati i driver di VirtualBox per condividere cartelle e percorsi di rete;
  • viene cancellato tutto l'archivio di copie shadow del sistema, così da impedire il ripristino di dati non cifrati;
  • vengono collegati alla macchina virtuale i dischi presenti sulla macchina fisica e i percorsi di rete da essa raggiungibili;
  • vengono cifrati tutti i dati sulle unità di archiviazione collegate e viene lasciato un messaggio personalizzato alla vittima.

Il fatto che il messaggio sia personalizzato fa capire che il ransomware è mirato a specifici obiettivi, dato che contiene riferimenti esatti; non sarebbe dunque usato a mo' di rete a strascico, che viene gettata con l'obiettivo di raccogliere qualunque cosa, ma piuttosto come lenza per colpire con precisione obiettivi di particolare valore.

L'attacco in sé non è particolarmente complesso: è composto da script e da una macchina virtuale, tecnologie note e ampiamente utilizzate. La novità sta nel fatto che i criminali hanno sfruttato le capacità di isolamento dal sistema delle macchine virtuali per proteggere il proprio software malevolo, impedendo che sia raggiunto dai software di sicurezza.

Dal momento che la macchina virtuale è visibile come tale al software antivirus, questo non è in grado di distinguere tra un'installazione legittima e una malevola. A fare la differenza in questo caso, così come in altri, è la capacità dei software di interpretare il comportamento del malware: Sophos si è accorta del problema quando il suo software CryptoGuard ha rilevato (e bloccato) il tentativo di cifratura presso uno dei suoi clienti. In questo caso i criminali hanno giocato sull'inventiva e sullo sfruttamento di strumenti legittimi, più che sulla complessità dell'attacco.

Ulteriori informazioni sull'attacco sono disponibili sul sito di Sophos. Gli strumenti tradizionali non sono in grado di rispondere a questo tipo di attacco in maniera efficace, quindi il consiglio è di dotarsi di software in grado di rispondere in base al comportamento dei malware, più che in base alle firme degli stessi.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
matsnake8602 Giugno 2020, 13:32 #1
Per bloccare il virus quindi basterebbe tenere disattivata la virtualizzazione nelle impostazione della scheda madre?
nist#02 Giugno 2020, 14:58 #2
"L'azienda ha soprannominato questo nuovo ransomware "Ragnar Locker", giocando col nome del famoso Ragnarøk della tradizione nordica.".

Ehm, a occhio direi che il riferimento è a Ragnar Lothbrok, protagonista di una delle più antiche e celebri saghe norrene, nonché main character delle prime 4 stagioni di Vikings.
Il Ragnarøk, al di là dell'assonanza, non c'entra nulla con l'eroe in questione, ma indica invece la fine dei tempi sempre nella tradizione norrena.
Axios200602 Giugno 2020, 15:50 #3
the Ragnar Locker group has used exploits of managed service providers or attacks on Windows Remote Desktop Protocol (RDP) connections to gain a foothold on targeted networks. After gaining administrator-level access to the domain of a target and exfiltration of data, they have used native Windows administrative tools such as Powershell and Windows Group Policy Objects (GPOs) to move laterally across the network to Windows clients and servers.


La solita sicurezza colabrodo di Windows....
Lieutenant02 Giugno 2020, 18:51 #4
Originariamente inviato da: matsnake86
Per bloccare il virus quindi basterebbe tenere disattivata la virtualizzazione nelle impostazione della scheda madre?


No, non credo.

Le istruzioni di virtualizzazione ora sono importanti ma un tempo non lo erano. Il motivo per cui e' stata scelta una vecchia versione di VirtualBox probabilmente e' legata tra le altre cose a questo.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^