Det brittiska cybersäkerhetsföretaget Sophos avslöjar Ragnar Locker ransomware-attack som distribuerar en virtuell maskin för att kringgå säkerheten.
Cybersäkerhetsföretaget Sophos avslöjade detaljer om Ragnar Locker-attacken som riktar sig mot företag som kräver enorma summor i lösen. Attacken använder en virtuell maskin för att infektera måldatorerna. Detta gör att attacken kan kringgå säkerheten för lokala antivirusprogram.
Ragnar Locker ransomware
Ransomwaren tenderar att rikta sig mot företag istället för individer och kräver stora summor pengar för att dekryptera sina filer. Sophos rapport gav ett exempel på Energias de Portugal, som stal tio terabyte data och krävde 1 850 BTC (14,5 miljoner USD vid nuvarande handelspris). De hotades att om lösensumman inte betalades skulle angriparna lämna ut uppgifterna till allmänheten.
Angriparen döljer en liten körbar ransomware-fil i en virtuell bild och maskerar den som ett installationsprogram. Enligt Sophos rapport "var attackens nyttolast ett 122 MB installationsprogram med en 282 MB virtuell bild" allt för att dölja en 49 kB körbar ransomware-fil.
Angriparna riktar sig mot Windows Remote Desktop Protocol (RDP)-anslutningar för att etablera fotfäste på de riktade nätverken. När angriparen har fått åtkomst på administratörsnivå flyttar de över nätverket till klienter och servrar med hjälp av inbyggda Windows-verktyg som Powershell och Windows Group Policy Objects (GPOs).
Ransomware-attacker som kräver kryptovaluta för att dekryptera filer har ökat de senaste åren. Nyligen rapporterade att popstjärnan Madonna var måltavla i ett kryptolösensystem av REvil. Angriparna skulle auktionera ut känslig information om Madonna den 25 maj med ett startbud på en miljon amerikanska dollar.
