O ransomware Ragnar Locker está a utilizar máquinas virtuais para evitar a sua deteção.

Os cibercriminosos por trás do Ragnar Locker usam várias vulnerabilidades ou exploram ligações RDP (Remote Desktop Protocol) para comprometer redes e com isso também exfiltrar dados antes da implantação do ransomware, – uma forma de atrair as vítimas a pagar o resgate.

Como parte de um ataque observado recentemente, o ransomware foi executado dentro de uma máquina virtual Oracle VirtualBox Windows XP. Para isso, os invasores usaram uma GPO (Windows Group Policy Object) do Windows para executar o processo  msiexec.exe, e instalar “silenciosamente” um pacote MSI de 122 MB.

Neste primeiro estágio do ransomware, o MSF file, estava um hipervisor Oracle VirtualBox antigo (Sun xVM VirtualBox versão 3.0.4 de 5 de agosto de 2009) e uma imagem de disco virtual (VDI) – uma imagem de uma versão simplificada do Windows XP SP3 – que incluía o ransomware e que tinha 49 KB de tamanho.

O software de virtualização e a imagem do disco virtual são copiados para a pasta C:\Program Files (x86)\VirtualAppliances.

The MSI also deploys an executable, a batch file, and a few support files. The batch script registers and runs VirtualBox application extensions VBoxC.dll and VBoxRT.dll, along with the VirtualBox driver VboxDrv.sys.

%binapp%\VBoxSVC.exe /reregserver
regsvr32 /S “%binpath%\VboxC.dll”
rundll32 “%binpath%\VBoxRT.dll,RTR3Init”
sc create VBoxDRV binpath= “%binpath%\drivers\VboxDrv.sys” type= kernel start= auto error= normal displayname= PortableVBoxDRV
sc start VBoxDRV

Em seguida, o script termina a execução do serviço Windows Shell Hardware Detection, para desativar a funcionalidade de notificação AutoPlay, e elimina as shadow copies do computador depois de enumerar os discos locais e shares na rede.

A VM é configurada com 256 MB de RAM, 1 CPU, um único ficheiro HDD de 299 MB micro.vdi e um adaptador de rede Intel PRO / 1000 ligado via NAT.

Depois da VM ter sido instalada um ficheiro bat é instalado dentro do ambiente virtual.

“%binpath%\VboxHeadless.exe” –startvm micro -v off

 

O ficheiro tem o seguinte código:

@echo off
ping -n 11 127.0.0.1
net use E: \\VBOXSVR\1
for %%d in (2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33) do (if exist \\VBOXSVR\%%d net use *\\VBOXSVR\%%d)
:a
ping -n 3 127.0.0.1
C:\vrun.exe -vm
goto a

 

Esse script faz mount as unidades partilhadas e configuradas em micro.xml na máquina host, dentro da VM guest. Isso significa que agora o ransomware no ambiente guest pode aceder totalmente os discos locais do host, a rede mapeada e as unidades móveis. Quando todas as unidades estiverem disponíveis e mounted, o ransomware é executado.

 

“The Ragnar Locker adversaries are taking ransomware to a new level and thinking outside of the box. They are deploying a well-known trusted hypervisor to hundreds of endpoints simultaneously, together with a pre-installed and pre-configured virtual disk image guaranteed to run their ransomware. Like a ghost able to interact with the material world, their virtual machine is tailored per endpoint, so it can encrypt the local disks and mapped network drives on the physical machine, from within the virtual plane and out of the detection realm of most endpoint protection products,” Mark Loman, director of engineering at Sophos, said in an emailed comment.