ウイルス対策ツールが一般的な感染手法をますます巧妙に検知するようになる中、ある恐喝者グループは、ランサムウェアを自身の仮想マシン内に隠すという異例の手段を講じた。
SophosのVikas Singh氏、Gabor Szappanos氏、Mark Loman氏によると、犯罪者はファイル暗号化マルウェア「Ragnar Locker」を、Windows XPの亜種であるMicroXPを実行する仮想マシンに仕込んでいるという。そして、攻撃者は被害者のネットワークに侵入し、管理者権限を取得すると(通常は脆弱なRDPボックスや侵害されたマネージドサービスプロバイダー経由)、侵入可能な各マシンにこの仮想マシンと、それを実行するためのOracleのVirtualBoxハイパーバイザーをダウンロードする。
インストール中に、シャドウボリューム形式のバックアップが削除され、ランサムウェアによって暗号化されたドキュメントの復元に使用できなくなります。次に、ホストシステムが構成され、仮想マシン内のランサムウェアが、プラグインされているかネットワーク経由でマッピングされているかを問わず、接続されたすべてのストレージドライブにアクセスできるようになります。さらに、リモート管理ツールやバックアップユーティリティなど、被害者ごとに選択された不要なプログラムやサービスはすべて終了され、仮想マシンが起動されます。
ランサムウェアの悪党が、請負業者が支払いを拒否した後、ボーイング、ロッキード・マーティン、スペースXの文書を漏洩
続きを読む
その後、ランサムウェアはホストコンピュータ上のファイルを暗号化し、暗号化されたデータの復元と引き換えに金銭を要求する身代金要求メッセージを残し、その動作を開始します。これはすべて、悪意のあるコードを単一のvCPUと256MBのRAMを搭載した小さな仮想マシンに隠すことで、ウイルス対策スイートなどのセキュリティ対策を回避するためだと考えられていますが、ソフォスは感染が検出されたと述べているため、完全に安全とは言えません。
「攻撃ペイロードは122MBのインストーラーで、その中に282MBの仮想イメージが入っていた」とソフォスのローマン氏は指摘する。「これはすべて49KBのランサムウェア実行ファイルを隠すためだった。」
彼はさらにこう付け加えた。「vrun.exeランサムウェアアプリケーションは仮想ゲストマシン内で実行されるため、そのプロセスと動作は物理ホストマシン上のセキュリティソフトウェアの影響を受けず、妨害されることなく実行されます。物理マシン上でアクセス可能なディスクやドライブ上のデータは、VirtualBox仮想化ソフトウェアである『正規の』VboxHeadless.exeプロセスによって攻撃されます。」
このマルウェアの背後にいる犯罪者は、組織のデータのコピーを盗み、それを暗号化することで、被害者にさらに支払いを迫ると言われている。支払いを怠ると、機密の内部情報が漏洩したり、他のハッカーに売却されたりする。
「4月に、ラグナル・ロッカーの背後にいるアクターらはポルトガル電力会社(EDP)のネットワークを攻撃し、10テラバイトの機密企業データを盗んだと主張し、1,580ビットコイン(約1,100万ドル)の支払いを要求し、身代金が支払われない場合はデータを公開すると脅迫した」とローマン氏は指摘した。
過去の攻撃において、Ragnar Lockerグループは、マネージドサービスプロバイダーのエクスプロイトやWindowsリモートデスクトッププロトコル(RDP)接続への攻撃を利用して、標的ネットワークへの足掛かりを築いてきました。標的ドメインへの管理者レベルのアクセスとデータの窃取後、PowerShellやWindowsグループポリシーオブジェクト(GPO)などのWindowsネイティブ管理ツールを用いて、ネットワークを横断し、Windowsクライアントやサーバーへと侵入してきました。
これが、RDP を保護し、適切なクラウド プロバイダーを選択することが重要である理由だと私たちは考えています。®
