Das britische Cybersicherheitsunternehmen Sophos enthüllt einen Ragnar Locker-Ransomware-Angriff, der eine virtuelle Maschine einsetzt, um die Sicherheit zu umgehen.
Das Cybersicherheitsunternehmen Sophos enthüllte Details zum Ragnar Locker-Angriff, der auf Unternehmen abzielt, die riesige Lösegeldsummen fordern. Der Angriff verwendet eine virtuelle Maschine, um die Zielcomputer zu infizieren. Dadurch kann der Angriff die Sicherheit lokaler Antivirensoftware umgehen.
Ragnar Locker-Ransomware
Die Ransomware zielt eher auf Unternehmen als auf Einzelpersonen ab und verlangt große Geldbeträge, um ihre Dateien zu entschlüsseln. Bericht Sophos nannte ein Beispiel von Energias de Portugal, das zehn Terabyte an Daten stahl und 1.850 BTC (14,5 Millionen USD zum aktuellen Handelspreis) forderte. Ihnen wurde gedroht, dass die Angreifer die Daten öffentlich zugänglich machen würden, wenn das Lösegeld nicht gezahlt werde.
Der Angreifer versteckt eine kleine ausführbare Ransomware-Datei in einem virtuellen Image und tarnt sie als Installationsprogramm. Laut dem Bericht von Sophos „war die Angriffsnutzlast ein 122 MB großes Installationsprogramm mit einem 282 MB großen virtuellen Image“, um eine 49 KB große ausführbare Ransomware-Datei zu verbergen.
Die Angreifer zielen auf die Windows Remote Desktop Protocol (RDP)-Verbindungen ab, um in den Zielnetzwerken Fuß zu fassen. Sobald der Angreifer Zugriff auf Administratorebene erlangt hat, bewegt er sich über das Netzwerk zu Clients und Servern, indem er native Windows-Tools wie Powershell und Windows-Gruppenrichtlinienobjekte (GPOs) verwendet.
Ransomware-Angriffe, die Kryptowährung zum Entschlüsseln von Dateien erfordern, haben in den letzten Jahren zugenommen. Erst kürzlich berichtete dass Popstar Madonna in einem Krypto-Lösegeldsystem von REvil ins Visier genommen wurde. Die Angreifer würden am 25. Mai sensible Informationen über Madonna mit einem Startgebot von einer Million US-Dollar versteigern.