Ransomware gebruikt virtual machine om virusscanner te vermijden

Abonneer je gratis op Techzine!

De hackergroep achter ransomware Ragnar Locker heeft een nieuwe manier gevonden om antivirusprogramma’s op computers te vermijden. Door de ransomware op een virtual machine te runnen, is antivirussoftware niet in staat kwade activiteiten te detecteren.

Sophos constateerde de nieuwe variant van de ransomware, die met name wordt gebruikt om grote bedrijven en regeringen te raken. Vorige maand dreigden de makers van Ragnar Locker buitgemaakte data van energieleverancier Energias de Portugal online te plaatsen als een dwangsom van omgerekend tien miljoen euro niet werd betaald.

De groep zou bepaalde kwetsbaarheden op systemen misbruiken om toegang te krijgen, waarna een per systeem gepersonaliseerde variant van de ransomware wordt geplaatst. Om te voorkomen dat systemen te snel reageren op de kaping, gebruiken de hackers nu een virtual machine (VM) om lokale beveiligingsmaatregelen te omzeilen.

Hackers installeren bij de aanval Oracle VirtualBox, de software die het draaien van VM’s mogelijk maakt. Vervolgens wordt de VM geconfigureerd om toegang te krijgen tot data op het apparaat, de storage buiten de VM dus. Als de VM opgestart wordt, draait er een aangepaste versie van het Windows XP SP3-besturingssysteem (MicroXP 0.82). Vervolgens is het zaak om de ransomware in de VM in te laden en te draaien. Aangezien het vanuit een VM gebeurt, zouden virusscanners het proces niet opmerken. Aanpassingen in bestanden op de lokale schijven worden immers uitgevoerd door een legitiem proces.

Niet alleen meent Sophos dat dit wederom een evolutie van bestaande ransomware betreft, ook zou het uitermate zorgvuldig per doelwit worden uitgerold. In tekstfiles zijn specifieke procesnamen terug te vinden die enkel op individuele systemen aanwezig waren.