Alerta de ransomware: el ataque Ragnar Locker despliega una máquina virtual para evadir la seguridad

La empresa de ciberseguridad Sophos, con sede en el Reino Unido, revela un ataque de ransomware Ragnar Locker que implementa una máquina virtual para eludir la seguridad.

La firma de ciberseguridad Sophos reveló detalles sobre el ataque Ragnar Locker, dirigido contra empresas que exigen enormes cantidades de rescate. El ataque utiliza una máquina virtual para infectar los equipos objetivo. Esto permite eludir la seguridad de los antivirus locales.

Ransomware Ragnar Locker

El ransomware suele atacar a empresas en lugar de a particulares y exige grandes sumas de dinero para descifrar sus archivos. El informe de Sophos cita como ejemplo a Energias de Portugal, que robó diez terabytes de datos y exigió 1850 BTC (equivalentes a 14,5 millones de dólares al precio actual). La amenaza consistía en que, si no se pagaba el rescate, los atacantes publicarían los datos.

El atacante oculta un pequeño archivo ejecutable de ransomware dentro de una imagen virtual y lo disfraza de instalador. Según el informe de Sophos, «la carga útil del ataque consistía en un instalador de 122 MB con una imagen virtual de 282 MB», todo para ocultar un archivo ejecutable de ransomware de 49 kB.

Los atacantes atacan las conexiones del Protocolo de Escritorio Remoto (RDP) de Windows para establecerse en las redes objetivo. Una vez que obtienen acceso de administrador, se desplazan por la red hacia clientes y servidores mediante herramientas nativas de Windows, como PowerShell y los Objetos de Directiva de Grupo (GPO) de Windows.

Los ataques de ransomware que exigen criptomonedas para descifrar archivos han aumentado en los últimos años. Recientemente, Cryptopolitan informó que la estrella del pop Madonna fue víctima de un ataque de ransomware perpetrado por REvil. Los atacantes subastarían información confidencial sobre Madonna el 25 de mayo con una puja inicial de un millón de dólares estadounidenses.