La empresa de ciberseguridad Sophos, con sede en el Reino Unido, revela un ataque de ransomware Ragnar Locker que implementa una máquina virtual para eludir la seguridad.
La firma de ciberseguridad Sophos reveló detalles sobre el ataque Ragnar Locker, dirigido contra empresas que exigen enormes cantidades de rescate. El ataque utiliza una máquina virtual para infectar los equipos objetivo. Esto permite eludir la seguridad de los antivirus locales.
Ransomware Ragnar Locker
El ransomware suele atacar a empresas en lugar de a particulares y exige grandes cantidades de dinero para descifrar sus archivos. El informe de Sophos puso como ejemplo el caso de Energias de Portugal, que robó diez terabytes de datos y exigió 1850 BTC (14,5 millones de dólares al precio actual). Los amenazaron con que, si no pagaban el rescate, los atacantes harían públicos los datos.
El atacante oculta un pequeño archivo ejecutable de ransomware dentro de una imagen virtual y lo disfraza de instalador. Según el informe de Sophos, «la carga útil del ataque consistía en un instalador de 122 MB con una imagen virtual de 282 MB», todo para ocultar un archivo ejecutable de ransomware de 49 kB.
Los atacantes atacan las conexiones del Protocolo de Escritorio Remoto (RDP) de Windows para establecerse en las redes objetivo. Una vez que obtienen acceso de administrador, se desplazan por la red hacia clientes y servidores mediante herramientas nativas de Windows, como PowerShell y los Objetos de Directiva de Grupo (GPO) de Windows.
Los ataques de ransomware que exigen criptomonedas para descifrar archivos han aumentado en los últimos años. Recientemente, Cryptopolitan Se informó que la estrella del pop Madonna fue blanco de un plan de rescate con criptomonedas de REvil. Los atacantes subastarían información confidencial sobre Madonna el 25 de mayo con una oferta inicial de un millón de dólares estadounidenses.
