Categories: RansomwareSécurité

RegretLocker : ce ransomware s’en prend aussi aux disques virtuels

Évasion par utilisation d’une instance virtuelle : c’est l’une des techniques cybercriminelles « défensives » répertoriée dans le framework ATT@CK de MITRE. On a vu des ransomwares en faire usage. En particulier Ragnar Locker.

L’alerte à ce sujet avait été donnée au printemps dernier. Levier d’attaque : les GPO (objets de stratégie de groupe), destinés à appliquer des politiques de sécurité sur des systèmes Windows en environnement Active Directory.

Détournés, ils ont servi à exécuter le moteur d’installation MSI pour télécharger un paquet malveillant. Celui-ci comportait deux éléments majeurs. D’une part, un installeur de Sun xVM VirtualBox (version 3.0.4, datée d’août 2009). De l’autre, une image disque (.vdi) basée sur MicroXP 0.82, version « légère » de Windows XP SP3.

Ragnar Locker se cachait dans cette VM. Son exécution se faisait par l’intermédiaire d’un script lancé automatiquement au démarrage. Ledit script avait monté, au préalable, les volumes détectés sur le système hôte. Ne restait plus qu’à les chiffrer, à l’abri des logiciels de sécurité. Lesquels ne voyaient que le processus VirtualBox, exécuté en mode headless.

Au cours de l’été, on a vu Maze adopter la même technique. Mais avec une VM plus volumineuse, fondée sur Windows 7 SP1.

RegretLocker : une autre approche de la virtualisation

La semaine passée a émergé un autre type de ransomware, qui fait également usage de la virtualisation, mais à des fins purement offensives. On lui a donné le nom de RegretLocker. Simple en apparence, il a une particularité : la capacité à chiffrer des fichiers sur des disques virtuels ; plus précisément ceux au format Hyper-V (VHD/VHDX).

Pour y parvenir, il exploite trois fonctionnalités de l’API Windows Virtual Storage : OpenVirtualDisk, AttachVirtualDisk et GetVirtualDiskPhysicalPath. Une clé de chiffrement est codée en dur au cas où RegretLocker ne parviendrait pas à joindre son serveur de contrôle (en .ru).

Le ransomware semble s’inspirer d’une publication récente de la communauté vx-underground. Intitulée « Weaponizing Windows Virtualization », elle traite de l’exploitation d’ISO (images de disques optiques) à des fins malveillantes. Et laisse entendre que la même technique peut s’appliquer aux fichiers VHD.

Photo d’illustration © newfilm.dkviaVisualhunt / CC BY-NC-SA

Recent Posts

Microsoft révise ses programmes de licence à l’aune du cloud

Microsoft permet désormais la vente de licences perpétuelles dans le cadre du programme Cloud Solution…

2 jours ago

Open hardware : Android porté sur RISC-V

Alibaba est parvenu à porter Android sur un processeur RISC-V maison, avec interface graphique et…

2 jours ago

Firefox sur Apple Silicon : dans les coulisses du portage

De Rust aux DRM, Mozilla revient sur quelques-uns des défis qu'a impliqués le portage de…

2 jours ago

DBaaS : Couchbase Cloud sur Azure, après AWS

Après Amazon Web Services, Azure. La base de données en tant que service de Couchbase…

2 jours ago

Zerologon : Microsoft prépare la phase deux de son plan correctif

Microsoft se prépare à ajuster le correctif qu'il diffuse depuis août dernier contre la faille…

3 jours ago

DSI : un fonctionnement en silos qui coûte cher

9 DSI sur 10 considèrent que la contribution des équipes IT à la création de…

3 jours ago