La société britannique de cybersécurité Sophos révèle l'attaque du rançongiciel Ragnar Locker qui déploie une machine virtuelle pour contourner la sécurité.
La société de cybersécurité Sophos a révélé des détails sur l'attaque Ragnar Locker qui cible les entreprises exigeant des sommes énormes en rançon. L'attaque utilise une machine virtuelle pour infecter les ordinateurs cibles. Cela permet à l'attaque de contourner la sécurité des logiciels antivirus locaux.
Logiciel de rançon Ragnar Locker
Le ransomware a tendance à cibler les entreprises plutôt que les particuliers et exige de grosses sommes d'argent pour décrypter leurs fichiers. rapport de Sophos donné un exemple d'Energias de Portugal, qui a volé dix téraoctets de données et a exigé 1 850 BTC (14,5 millions USD au prix actuel). Ils ont été menacés que si la rançon n'était pas payée, les attaquants divulgueraient les données au public.
L'attaquant cache un petit fichier exécutable de ransomware dans une image virtuelle et le déguise en programme d'installation. Selon le rapport de Sophos, "la charge utile de l'attaque était un programme d'installation de 122 Mo avec une image virtuelle de 282 Mo", le tout pour cacher un fichier exécutable de rançongiciel de 49 Ko.
Les attaquants ciblent les connexions Windows Remote Desktop Protocol (RDP) pour prendre pied sur les réseaux ciblés. Une fois que l'attaquant a obtenu un accès de niveau administrateur, il se déplace sur le réseau vers les clients et les serveurs à l'aide d'outils Windows natifs tels que Powershell et les objets de stratégie de groupe Windows (GPO).
Les attaques de ransomwares qui nécessitent une crypto-monnaie pour décrypter les fichiers ont augmenté ces dernières années. Tout récemment, Cryptopolitan a rapporté que la popstar Madonna avait été ciblée dans un stratagème de rançon cryptographique par REvil. Les attaquants vendraient aux enchères des informations sensibles sur Madonna le 25 mai avec une offre de départ d'un million de dollars américains.
