A empresa de segurança cibernética Sophos, com sede no Reino Unido, revela o ataque de ransomware Ragnar Locker que implanta uma máquina virtual para burlar a segurança.
A empresa de segurança cibernética Sophos revelou detalhes sobre o ataque Ragnar Locker que visa empresas que exigem grandes somas de resgate. O ataque usa uma máquina virtual para infectar os computadores de destino. Isso permite que o ataque contorne a segurança dos softwares antivírus locais.
Ransomware Ragnar Locker
O ransomware tende a atingir empresas em vez de indivíduos e exige grandes quantias de dinheiro para descriptografar seus arquivos. relatório da Sophos deu um exemplo da Energias de Portugal, que roubou dez terabytes de dados e exigiu 1.850 BTC (14,5 milhões de dólares ao preço de negociação atual). Eles foram ameaçados de que, se o resgate não fosse pago, os invasores divulgariam os dados ao público.
O invasor oculta um pequeno arquivo executável de ransomware em uma imagem virtual e o disfarça como um instalador. De acordo com o relatório da Sophos, “a carga útil do ataque era um instalador de 122 MB com uma imagem virtual de 282 MB”, tudo para ocultar um arquivo executável de ransomware de 49 kB.
Os invasores têm como alvo as conexões RDP (Windows Remote Desktop Protocol) para estabelecer uma base nas redes visadas. Depois que o invasor obtém acesso de nível de administrador, ele se move pela rede para clientes e servidores usando ferramentas nativas do Windows, como Powershell e Windows Group Policy Objects (GPOs).
Os ataques de ransomware que exigem criptomoeda para descriptografar arquivos têm aumentado nos últimos anos. Recentemente, a Cryptopolitan informou que a popstar Madonna foi alvo de um esquema de resgate criptográfico do REvil. Os atacantes iriam leiloar informações confidenciais sobre Madonna em 25 de maio com um lance inicial de um milhão de dólares americanos.
