Le ransomware Ragnar Locker a déployé une machine virtuelle complète pour garantir qu’elle puisse échapper à la détection, révèle Sophos.

Les cybercriminels derrière Ragnar Locker utilisent divers exploits ou ciblent des connexions RDP (Remote Desktop Protocol) pour compromettre les réseaux, et volent également des données sur les réseaux ciblés avant de déployer le ransomware, pour inciter les victimes à payer la rançon.

Dans le cadre d’une attaque récemment observée, le ransomware a été exécuté dans une machine virtuelle Oracle VirtualBox Windows XP. Pour cela, les attaquants ont utilisé une tâche GPO (Windows Group Policy Object) pour exécuter msiexec.exe et récupérer et installer silencieusement un package MSI de 122 Mo.

Le package contenait un ancien hyperviseur Oracle VirtualBox (Sun xVM VirtualBox version 3.0.4 du 5 août 2009) et un fichier image de disque virtuel (VDI) – une image d’une version allégée de Windows XP SP3 – qui comprenait un 49 Fichier exécutable du rançongiciel KB Ragnar Locker.

Le MSI déploie également un exécutable, un fichier de commandes et quelques fichiers de support. Le script batch enregistre et exécute les extensions d’application VirtualBox VBoxC.dll et VBoxRT.dll, avec le pilote VirtualBox VboxDrv.sys.

Ensuite, le script arrête le service Windows Shell Hardware Detection pour désactiver la fonctionnalité de notification de lecture automatique et supprime les clichés instantanés de volume de l’ordinateur, après quoi il énumère tous les disques locaux, les lecteurs amovibles connectés et les lecteurs réseau mappés.

Le fichier de commandes passe également par une liste de 50 processus (principalement des applications métier, des bases de données, des applications de gestion à distance et de sauvegarde) et les termine, pour garantir que les fichiers qui leur sont associés sont déverrouillés et disponibles pour le cryptage.

La liste des processus ciblés est stockée dans un fichier texte et est accompagnée d’une liste (également stockée dans un fichier texte) de noms de service adaptés à l’environnement réseau de l’organisation victime. Ensuite, le script démarre la machine virtuelle, …

Voir la source de cette publication