Comment se protéger des antivirus ? En se cachant dans une machine virtuelle. Des chercheurs de Sophos se sont intéressés à un ransomware qui exploite cette technique : Ragnar Locker.
On en a connaissance depuis fin 2019. Parmi ses victimes récentes figure le groupe Energias de Portugal. Les auteurs de l’attaque disent avoir pu récupérer puis chiffrer plus de 10 To de données.
La méthode « traditionnelle » pour exploiter Ragnar Locker consiste à exploiter des failles dans des logiciels d’infogérance. La latéralisation peut se faire à travers les objets de stratégie de groupe (GPO), destinés à appliquer des politiques de sécurité sur des systèmes Windows en environnement Active Directory.
La version que présente Sophos utilise les GPO pour exécuter le moteur d’installation MSI et télécharger un fichier à ce format (.msi).
Ce paquet comprend un installeur de Sun xVM VirtualBox (version 3.0.4, datée d’août 2009) et une image disque (.vdi) basée sur MicroXP 0.82, version « légère » de Windows XP SP3.
Le tout est copié dans C:\Program Files\[x86] \VirtualAppliances.
Ce sont les deux principales composantes de l’attaque, mais il y en a d’autres. Notamment un exécutable va.exe qui lance un script install.bat. Lequel :
La VM se lance alors, en mode headless, avec 256 Mo de RAM, un vCPU et un disque virtuel de 299 Mo. Ragnar (vrun.exe) y est exécuté par l’intermédiaire d’un script (vrun.bat) lancé automatiquement au démarrage et qui monte, au préalable, les volumes détectés sur le système hôte. Il ne lui reste plus qu’à les chiffrer, à l’abri des logiciels de sécurité, qui ne voient que le processus VBoxHeadless.exe.
Illustration principale © Nmedia – Fotolia.com
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…