חושבים מחוץ לקופסה: האקרים הפעילו כופרה שמתחמקת מאמצעי אבטחה
בסופוס זיהו זוהתה שיטת פעולה חדשה של כופרה, שלוקחת את החמקנות לרמה חדשה: הפעלה של מכונה וירטואלית חדשה בכל מכשיר מודבק, כדי להסתיר את פעילותה ולהתחמק מתוכנות אבטחה
זוהתה שיטת פעולה חדשה של כופרה, שלוקחת את החמקנות לרמה חדשה: הפעלה של מכונה וירטואלית חדשה בכל מכשיר מודבק, כדי להסתיר את פעילותה ולהתחמק מתוכנות אבטחה, כך על פי סופוס (Sophos).
בהתקפה שזוהתה באחרונה על ידי חוקרי סופוס, הכופרה Ragnar Loacker הופעלה בתוך מכונה וירטואלית מסוג Oracle VirtualBox Windows XP. המטען של הנוזקה היה תוכנת התקנה בגודל 122 מגה-בייט, שהכילה אימג' וירטואלי בגודל 282 מגה-בייט – וכל זאת כדי להסתיר קובץ כופרה בגודל של 49 קילו-בייט בלבד.
מארק לומן, מנהל הנדסת מזעור איומים בסופוס, כתב בבלוג החברה פוסט, שלפיו "הגורמים שמאחורי Ragnar Locker ידועים בגניבה של נתונים מרשתות לפני הפעלת הכופרה, על מנת לגרום לקורבנות לשלם. באפריל, אותו גורם איום תקף את הרשת של Energias de Portugal – בטענה שהצליח לגנוב 10 טרה-בייט של נתוני חברה רגישים. הוא דרש תשלום של 1,580 ביטקוין (כ-11 מיליון דולר) ואיים לפרסם את הנתונים אם לא ישולם הכופר".
בהתקפות קודמות, קבוצת Ragnar Loacker ניצלה פרצות של ספקי שירותים, או התקפות על פרוטוקול הגישה מרחוק של Windows (RDP) – כדי להשיג גישה לרשתות המטרה. לאחר שהשיגו גישה ברמת אדמין אל הדומיין, וחילצו ממנו את הנתונים, הם השתמשו בכלים מובנים במערכת חלונות, כגון Powershell ו-Windows Group Policy Objects) GPO) – כדי לבצע תנועה רוחבית ברשת אל מכשירים ושרתים נוספים מבוססי Windows.
בהתקפה שזוהתה על ידי סופוס, גורם האיום השתמש במשימת GPO כדי להפעיל את מתקין החלונות (msiexec.exe) עם הפרמטרים המתאימים להורדה משרת מרוחק והתקנה שקטה של חבילת MSI בלתי חתומה, בגודל 122 מגה. החבילה כללה הייפרווייזור ישן משנת 2009, מסוג Oracle Virtual Box ואימג' של דיסק וירטואלי (VDI) בשם micro.vdi.
לאחר התקנה של תוספים ל-VirtualBox, הקוד נטרל את שירות זיהוי החומרה של Windows במטרה לבטל הודעות על הפעלה אוטומטית. בהמשך, הקוד פתח את האפשרות להשתמש בכל הכוננים המקומיים, המכשירים הנתיקים וכונני הרשת, על ידי המכונה הווירטואלית שנוצרה.
לאחר שהסביבה הווירטואלית הייתה מוכנה וקיבלה הרשאות גישה לכל הנתונים, היא הריצה את קוד ההצפנה הזדוני ופנתה להצפנה של כל המערכות הנגישות. ההרצה של קוד ההצפנה מתוך הסביבה הווירטואלית מנעה מרוב מוצרי ההגנה לנקודות קצה את יכולת הזיהוי והעצירה של האיום.
על פי לומן, "בחודשים האחרונים ראינו את עולם הכופרה מתפתח בכמה דרכים. אלא שהגורמים מאחורי Ragnar Loacker לקחו את הדברים לרמה חדשה, עם חשיבה מחוץ לקופסה. הם מפעילים הייפרווייזור מוכר ואמין במאות נקודות קצה במקביל, באמצעות אימג' של דיסק וירטואלי מוגדר ומותקן מראש. הוא זה המבטיח את הרצת הכופרה. בדומה לרוח רפאים המסוגלת לתקשר עם העולם הפיזי, המכונה הווירטואלית שלהם תפורה בדיוק לנקודת הקצה, כך שהיא יכולה להצפין את הדיסקים המקומיים ולמפות את כונני הרשת במכונה הפיזית, והיא עושה זאת מתוך המישור הווירטואלי ומחוץ לטווח הגילוי של רוב מוצרי ההגנה לנקודות קצה. המטען העודף הנדרש להפעלת תוכנת הכופר שלהם, השוקלת 50 קילו-בייט בלבד, נראה כמו מהלך רעשני ונועז, אבל ייתכן שהוא ישתלם בחלק מהרשתות שאינן מוגנות כראוי מפני תוכנות כופר". לומן סיכם בציינו, כי "זו הפעם הראשונה שבה ראינו מכונה וירטואלית המשמשת להפעלת כופרה".
אחרי שמתנו עם חצי העולם בקורונה, הורעלנו על ידי G5, אז ההפחדה הבאה בדרך. תראו חברים.ות. ייתכן בהחלט שיש כאן איום כלשהו על אבטחת המחשב שלך ותכולתו, אך ללא שום רמז זאיך זה מגיע למחשב שלי, מה תפקידי כבעליו בעניין, ומה ניתן לעשות כדי למנוע ממנו להזיק - אז זה עוד מאמר חסר רלוונטיות. העיקר להפחיד להפחיד להפחיד. לדוגמא - אני אשמח אם מישהו מבין את הבלה בלה הבא שמצוטט מתוך המאמר: "משימת GPO כדי להפעיל את מתקין החלונות (msiexec.exe) עם הפרמטרים המתאימים להורדה משרת מרוחק והתקנה שקטה של חבילת MSI בלתי חתומה, בגודל 122 מגה. החבילה כללה הייפרווייזור ישן משנת 2009, מסוג Oracle Virtual Box ואימג' של דיסק וירטואלי (VDI) בשם micro.vdi...."