Sophos a détaillé un nouveau type de déploiement du rançongiciel RagnarLocker qui s’installe dans une machine virtuelle VirtualBox.
Sophos a rendu public un nouveau système d’évasion des outils de sécurité avec une méthode assez sophistiquée pour le déploiement et l’exploitation d’un rançongiciel. Sophos précise que le groupe derrière ce rançongiciel vole habituellement des données à des victimes très ciblées comme dans la distribution d’énergie au Portugal et avait volé une dizaine de To de données et menaçait de les rendre publics à défaut d’un paiement en bitcoins équivalent à 11 M$. Auparavant le groupe passait par le protocole RDP pour poser une tête de pont dans les systèmes.
Installation discrète d'un package msi
Dans l’attaque détectée par Sophos, le groupe a employé un Group Policy Object (GPO) pour utiliser la fonction installer de Microsoft débordant les paramètres de téléchargement pour installer discrètement un package MSI non signé. Dans ce package se trouve une installation assez ancienne d’une machine virtuelle Virtualbox et le fichier d’une image d’un disque virtuel et embarque un ransomware dédié à la victime, la note comprise dans le ransomware mentionnant le nom précisément. Ces deux éléments sont ensuite copiés dans le fichier des appliances virtuelles sur le disque de la victime.
D’autres éléments permettant le run de la machine virtuelle sont aussi downloadés. Un script désactive le service de détection hardware de Microsoft Shell et efface ensuite les volumes Shadow Copies pour éviter que la victime puisse restaurer ses fichiers. Le ransomware recense ensuite les différents disques locaux et les matériels connectés à la machine ainsi que les disques réseaux pour qu’ils soient accessibles à la machine virtuelle indûment installée. Un script de configuration de la machine virtuelle entre alors en action. Ensuite un fichier install.bat rend accessibles tous les fichiers pour pouvoir les chiffrer.
Le processus d'installation de RagnarLocker.