Ransomware usa máquina virtual para fugir de apps de segurança

Por Felipe Demartini | 28 de Maio de 2020 às 10h37
WCCF Tech

Uma nova categoria de ransomware utiliza o sistema de máquinas virtuais do Windows para realizar infecções e criptografar arquivos. O Ragnar Locker, como está sendo chamado, usa essa tática para se esconder de aplicativos de segurança, impedindo o uso de arquivos e os enviando para servidores sob o comando dos criminosos, que passam a exigir pagamento tanto para liberação quanto para não divulgar as informações publicamente.

O foco dos criminosos é o segmento corporativo, com até mesmo empresas de infraestrutura sendo atingidas. No caso mais notório, a Energias de Portugal (EDP), que fornece eletricidade para todo o país europeu, foi infectada em abril, com mais de 10 TB de dados sendo criptografados. Os hackers exigiram um resgate de 1.580 Bitcoins, um valor que ultrapassa a marca dos US$ 14 milhões, para que dados de clientes e documentos confidenciais da companhia fossem devolvidos e não publicados na internet.

De acordo com relatório da Sophos, o que chama a atenção no golpe é sua forma de distribuição. O ransomware chega junto com máquinas virtuais completas, com um dos exemplos analisados pelos especialistas sendo o de uma Oracle VirtualBox rodando Windows XP, com um instalador de 122 MB e 282 MB de dados — o Ragnar Locker, porém, ocupava apenas 49 KB.

Segundo o alerta, essa é uma mudança para o grupo hacker responsável pela praga, que, até agora, utilizava brechas em provedores de serviços ou aberturas no sistema de desktop remoto do Windows para chegar às redes. Os ataques continuam direcionados, mas agora ganharam um novo elemento de ofuscação, apesar de tentativas de se alastrar lateralmente pela rede não terem sido detectadas na variante que roda a partir de máquinas virtuais.

O ataque utiliza o sistema de gerenciamento de usuários e políticas do Windows para executar a máquina virtual, que, na sequência, começa a baixar arquivos e instaladores para o PC das vítimas. A partir daí, várias ações são tomadas no processo de obtenção dos arquivos — recursos do sistema operacional são interrompidos, backups ocultos e pontos de restauração são deletados e, por fim, os discos locais são listados, assim como os drives da rede, para que a criptografia seja aplicada aos arquivos.

De acordo com especialistas, o fato de todos esses processos acontecerem em uma máquina virtual faz com que soluções de segurança não as detectem, uma vez que as ações acontecem em outro ambiente. Entretanto, os mesmos arquivos são acessados por ambos, o que permite a ação do ransomware e o sequestro dos dados, mesmo em um sistema extremamente simples, já que a VM criada tem configurações modestas, mas suficientes para realizar a ação.

O ataque usando o Ragnar Locker embutido em uma máquina virtual é novo, mas o malware, em si, vem circulando desde dezembro do ano passado. Os golpes parecem ser direcionados, com valores que mudam de acordo com a categoria da empresa infectada, mas não se sabe ao certo quantas foram comprometidas até agora e o total eventualmente recebido pelos criminosos responsáveis pela campanha.

Um indício de infecção, porém, é o alto uso de CPU e uma quantidade anormal de arquivos sendo lidos e escritos por um único processo, elementos aos quais os administradores de redes e sistemas devem prestar atenção para detectar problemas. Outro caminho é utilizar softwares de segurança que tenham elementos antiransomware, já que eles possuem proteções automáticas dessa categoria que são capazes de detectar e barrar movimentações dessa categoria.

Fonte: Sophos

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.