Британская фирма по кибербезопасности Sophos раскрывает атаку программы-вымогателя Ragnar Locker, которая развертывает виртуальную машину для обхода системы безопасности.
Фирма по кибербезопасности Sophos раскрыла подробности атаки Ragnar Locker, нацеленной на компании, требующие огромных сумм выкупа. Атака использует виртуальную машину для заражения целевых компьютеров. Это позволяет атаке обойти защиту локального антивирусного программного обеспечения.
Программа-вымогатель Ragnar Locker
Программа-вымогатель, как правило, нацелена на предприятия, а не на отдельных лиц, и требует больших сумм денег за расшифровку своих файлов. В отчете Sophos приводится пример компании Energias de Portugal, которая украла десять терабайт данных и потребовала 1850 BTC (14,5 млн долларов США по текущей цене торгов). Им пригрозили, что если выкуп не будет выплачен, то злоумышленники обнародуют данные.
Злоумышленник скрывает небольшой исполняемый файл программы-вымогателя в виртуальном образе и маскирует его под установщик. Согласно отчету Sophos, «полезной нагрузкой атаки был установщик размером 122 МБ с виртуальным образом размером 282 МБ», и все это для того, чтобы скрыть исполняемый файл программы-вымогателя размером 49 КБ.
Злоумышленники нацелены на подключения протокола удаленного рабочего стола Windows (RDP), чтобы закрепиться в целевых сетях. Как только злоумышленник получает доступ на уровне администратора, он перемещается по сети к клиентам и серверам, используя собственные инструменты Windows, такие как Powershell и объекты групповой политики Windows (GPO).
Атаки программ-вымогателей, требующих криптовалюты для расшифровки файлов, в последние годы участились. Совсем недавно Cryptopolitan сообщил , что поп-звезда Мадонна стала мишенью REvil для получения выкупа в криптовалюте. Злоумышленники выставили на аукцион конфиденциальную информацию о Мадонне 25 мая со стартовой ставкой в один миллион долларов США.
