RagnarLocker
RagnarLocker è un ransomware rilasciato a fine 2019 noto per l'uso delle tecniche di virtual machine escape per nascondersi dalla rilevazione.
Storia
[modifica | modifica wikitesto]Presumibilmente scritto nell'Europa dell'est, non attacca infatti i computer con un layout di tastiera o lingua di sistema corrispondente a quello di un Paese dell'ex URSS e ha compiuto il primo attacco degno di nota a metà aprile contro la compagnia elettrica portoghese Energias de Portugal, dov'è stato compiuto anche un leak di 10 TB.[1].
Funzionamento
[modifica | modifica wikitesto]Il malware effettua un controllo del sistema operativo e se rileva un'impostazione coerente con quella dei Paesi dell'ex URSS sospende l'esecuzione, altrimenti invia una copia dei file al server centrale e ferma tutti i servizi contenenti le seguenti stringhe[2]:
vss sql memtas mepocs sophos veeam backup pulseway logme logmein connectwise splashtop kaseya
Il malware deposita dunque un file contenente un'installazione di VirtualBox con un'immagine di Windows XP che include il ransomware propriamente detto, che pesa appena 49 kB. Il sistema è appositamente impostato per poter vedere i file del computer host e viene eseguito tramite uno script batch che avvia la macchina virtuale. Secondo gli analisti di Sophos il malware viene compilato appositamente per ogni vittima.[3]
Grazie a questa tecnica l'intero carico virale resta limitato nel sistema virtuale e le operazioni sui file risultano, per i software di sicurezza, perfettamente legittime ed eseguite dall'applicativo di VirtualBox.[3]
Note
[modifica | modifica wikitesto]- ^ Portuguese energy giant hit by ransomware attack, su power-eng.com. URL consultato il 22 maggio 2020 (archiviato dall'url originale l'8 giugno 2020).
- ^ Ragnar Locker - MalwareWiki, su malware.wikia.org. URL consultato il 22 maggio 2020 (archiviato dall'url originale il 24 aprile 2020).
- ^ a b Ragnar Locker ransomware deploys virtual machine to dodge security