Британская компания Sophos, специализирующаяся на кибербезопасности, сообщила об атаке программы-вымогателя Ragnar Locker, которая использует виртуальную машину для обхода системы безопасности.
Компания Sophos, специализирующаяся на кибербезопасности, раскрыла подробности атаки Ragnar Locker, направленной на компании, требующие огромные суммы выкупа. Атака использует виртуальную машину для заражения целевых компьютеров. Это позволяет ей обходить защиту локальных антивирусных программ.
Программа-вымогатель Ragnar Locker
Программы-вымогатели, как правило, нацелены на предприятия, а не на частных лиц, и требуют большие суммы денег за расшифровку файлов. В отчете Sophos приводится пример компании Energias de Portugal, которая украла десять терабайт данных и потребовала 1850 BTC (14,5 миллионов долларов США по текущему курсу). Им угрожали, что если выкуп не будет выплачен, злоумышленники опубликуют данные в открытом доступе.
Злоумышленник скрывает небольшой исполняемый файл программы-вымогателя внутри виртуального образа и маскирует его под установщик. Согласно отчету Sophos, «полезной нагрузкой был установщик размером 122 МБ и виртуальный образ размером 282 МБ», и все это для того, чтобы скрыть исполняемый файл программы-вымогателя размером 49 КБ.
Злоумышленники атакуют соединения протокола удаленного рабочего стола Windows (RDP), чтобы закрепиться в целевых сетях. Получив доступ с правами администратора, злоумышленник перемещается по сети к клиентам и серверам, используя встроенные инструменты Windows, такие как PowerShell и объекты групповой политики Windows (GPO).
В последние годы участились атаки программ-вымогателей, требующих криптовалюту для расшифровки файлов. Совсем недавно Cryptopolitan Сообщалось , что поп-звезда Мадонна стала жертвой криптотранзакции со стороны REvil. Злоумышленники планировали выставить на аукцион конфиденциальную информацию о Мадонне 25 мая, начав торги с суммы в один миллион долларов США.
