La empresa de ciberseguridad Sophos, con sede en el Reino Unido, revela el ataque de ransomware Ragnar Locker que implementa una máquina virtual para eludir la seguridad.
La firma de seguridad cibernética Sophos reveló detalles sobre el ataque Ragnar Locker que se dirige a empresas que exigen grandes sumas de rescate. El ataque utiliza una máquina virtual para infectar las computadoras de destino. Esto permite que el ataque pase por alto la seguridad de los programas antivirus locales.
Ragnar Locker ransomware
El ransomware tiende a apuntar a empresas en lugar de individuos y exige grandes cantidades de dinero para descifrar sus archivos. informe de Sophos dio un ejemplo de Energias de Portugal, que robó diez terabytes de datos y exigió 1.850 BTC (14,5 millones de dólares al precio comercial actual). Se les amenazó con que si no se pagaba el rescate, los atacantes divulgarían los datos al público.
El atacante oculta un pequeño archivo ejecutable de ransomware dentro de una imagen virtual y lo disfraza como un instalador. Según el informe de Sophos, "la carga útil del ataque fue un instalador de 122 MB con una imagen virtual de 282 MB", todo para ocultar un archivo ejecutable de ransomware de 49 kB.
Los atacantes apuntan a las conexiones del Protocolo de escritorio remoto (RDP) de Windows para establecer un punto de apoyo en las redes objetivo. Una vez que el atacante ha obtenido acceso a nivel de administrador, se mueve a través de la red hacia clientes y servidores utilizando herramientas nativas de Windows como Powershell y Objetos de directiva de grupo (GPO) de Windows.
Los ataques de ransomware que exigen criptomonedas para descifrar archivos han aumentado en los últimos años. Recientemente, Cryptopolitan informó que la estrella del pop Madonna fue objeto de un esquema de rescate criptográfico por parte de REvil. Los atacantes subastarían información confidencial sobre Madonna el 25 de mayo con una oferta inicial de un millón de dólares estadounidenses.