A empresa de cibersegurança britânica Sophos revela o ataque de ransomware Ragnar Locker, que utiliza uma máquina virtual para burlar a segurança.
A empresa de cibersegurança Sophos revelou detalhes sobre o ataque Ragnar Locker, que tem como alvo empresas e exige resgates exorbitantes. O ataque utiliza uma máquina virtual para infectar os computadores-alvo, permitindo que ele contorne a segurança dos softwares antivírus locais.
Ransomware Ragnar Locker
O ransomware tende a visar empresas em vez de indivíduos e exige grandes quantias de dinheiro para descriptografar seus arquivos. O relatório da Sophos citou o exemplo da Energias de Portugal, que teve dez terabytes de dados roubados e exigiu 1.850 BTC (14,5 milhões de dólares americanos à cotação atual). A empresa foi ameaçada de que, caso o resgate não fosse pago, os atacantes divulgariam os dados ao público.
O atacante esconde um pequeno arquivo executável de ransomware dentro de uma imagem virtual, disfarçando-o como um instalador. De acordo com o relatório da Sophos, "a carga útil do ataque consistia em um instalador de 122 MB com uma imagem virtual de 282 MB", tudo para ocultar um arquivo executável de ransomware de 49 kB.
Os atacantes visam as conexões do Protocolo de Área de Trabalho Remota (RDP) do Windows para estabelecer uma base nas redes-alvo. Uma vez que o atacante obtém acesso de nível de administrador, ele se move pela rede para clientes e servidores usando ferramentas nativas do Windows, como o PowerShell e os Objetos de Política de Grupo (GPOs) do Windows.
Os ataques de ransomware que exigem criptomoedas para descriptografar arquivos têm aumentado nos últimos anos. Recentemente, Cryptopolitan Foi noticiado que a estrela pop Madonna foi alvo de um esquema de extorsão com criptomoedas perpetrado pelo grupo REvil. Os atacantes pretendiam leiloar informações sensíveis sobre Madonna em 25 de maio, com um lance inicial de um milhão de dólares americanos.
