Los artífices del ransomware RagnarLocker instalan la aplicación VirtualBox y ejecutan máquinas virtuales en los ordenadores que infectan con el fin de ejecutar su ransomware en un entorno «seguro», fuera del alcance del software antivirus local.
Este último truco ha sido visto y detallado hoy por la firma de seguridad cibernética del Reino Unido Sophos y muestra la creatividad y grandes artimañas algunas para evitar que sean detectados al atacar a una víctima.
¿Qué es RAGNARLOCKER?
Evitar la detección es crucial porque RagnarLocker no es un ransomware habitual. Son un grupo que selecciona cuidadosamente los objetivos, evitando a los consumidores domésticos y va tras las redes corporativas y las organizaciones gubernamentales solamente.
Sophos dice que el grupo se ha dirigido a las víctimas en el pasado mediante el abuso de los puntos finales RDP expuestos a Internet y ha comprometido las herramientas MSP (proveedor de servicios administrados) para romper su seguridad y tener acceso a sus redes internas.
En estas redes, el grupo RagnarLocker implementa una versión de su ransomware – personalizado para cada víctima – y luego exige una tarifa de descifrado astronómica por desaparecer.
Debido a que cada una de estas intrusiones es cuidadosamente planificada representa una oportunidad para ganar grandes cantidades de dinero, el grupo RagnarLocker ha puesto especial cuidado en el sigilo y recientemente se ha descubierto un truco novedoso para evitar ser descubierto por los antivirus.
El truco de la máquina virtual
En lugar de ejecutar el ransomware directamente en el equipo que quieren cifrar, la gente de RagnarLocker descarga e instala Oracle VirtualBox, un tipo de software que le permite ejecutar máquinas virtuales.
A continuación, el grupo configura la máquina virtual para darle acceso completo a todas las unidades locales y compartidas, lo que permite a la máquina virtual interactuar con los archivos almacenados fuera de su propio almacenamiento.
El siguiente paso es arrancar la máquina virtual, ejecutando una versión personalizada del sistema operativo Windows XP SP3, denominada MicroXP v0.82.
La fase final es cargar el ransomware dentro de la máquina virtual (VM) y ejecutarlo. Debido a que el ransomware se ejecuta dentro de la máquina virtual, el software antivirus no será capaz de detectar el proceso malicioso del ransomware.
Desde el punto de vista del software antivirus, los archivos en el sistema local y las unidades compartidas se reemplazarán repentinamente con sus versiones cifradas, y todas las modificaciones de archivos parecen provenir de un proceso legítimo, a saber, la aplicación VirtualBox.
Mark Loman, director de ingeniería y mitigación de amenazas de Sophos indicaba que esta es la primera vez que ha visto a una pandilla ransomware abusar de las máquinas virtuales durante un ataque.
