Вымогатель Ragnar Locker использует виртуальные машины для сокрытия своих действий - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
25-05-2020, 12:14
Вымогатель Ragnar Locker использует виртуальные машины для сокрытия своих действий - «Новости»
Рейтинг:
Категория: Новости

Специалисты компании Sophos обнаружили, что операторы малвари Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в зараженной системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.


Ragnar Locker — не совсем обычный шифровальщик. Так, его операторы тщательно выбирают цели для атак и не интересуются обычными  домашними пользователями. Обычно группировка сосредотачивает свои усилия исключительно на корпоративных сети и правительственных организациях. По данным Sophos, в прошлом эта хак-группа эксплуатировала эндпоинты с RDP, доступные из интернета, а также компрометировала поставщиков управляемых услуг (Managed services providers, MSP), чтобы получить доступ к внутренним сетям компаний.


В скомпрометированных сетях группировка разворачивает Ragnar Locker, тщательно настроив шифровальщика под конкретную жертву. Затем хакеры требуют огромный выкуп за расшифровку данных (­в размере от нескольких десятков до сотен тысяч долларов США). К примеру, в апреле текущего года RagnarLocker атаковал сеть энергетического гиганта Energias de Portugal (EDP). Тогда хакеры утверждали, что похитили 10 терабайт конфиденциальных данных и требовали выкуп в размере 1580 биткотнов (примерно 11 млн долларов США), угрожая обнародовать данные, если выкуп не будет выплачен.


Из-за используемой тактики операторам Ragnar Locker крайне важна скрытность. Поэтому недавно группировка разработала новый прием, чтобы избежать обнаружения антивирусным ПО.


Вместо того, чтобы запускать малварь непосредственно на самом компьютере, который нужно зашифровать, хакеры загружают и устанавливают Oracle VirtualBox. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, а также позволяя взаимодействовать с файлами, расположенными вне ее собственного хранилища.


В итоге на зараженной машине осуществляется загрузка виртуальной машины с урезанной версией Windows XP SP3, которая называется MicroXP v0.82. Затем внутри ВМ загружается и запускается и сам Ragnar Locker. Исследователи отмечают, что в итоге полезная нагрузка атаки — это установщик объемом 122 Мб и виртуальный образ, размером 282 Мб. И все это для сокрытия исполняемого файла малвари размером 49 Кб. ­


Так как вымогатель и его процесс vrun.exe работают внутри виртуальной машины, антивирусное ПО оказывается не в силах его обнаружить. С точки зрения антивируса, файлы в локальной системе и на общих дисках внезапно заменяются зашифрованными версиями, но все модификации исходят от легитимного процесса VboxHeadless.exe, то есть за все это ответственно приложение VirtualBox.


­Эксперты Sophos отмечают, что впервые видят шифровальщика, который использует виртуальные машины.


«В последние несколько месяцев мы наблюдали развитие вымогателей по нескольким направлениям. Но операторы Ragnar Locker выводят вымогатели на новый уровень и мыслят крайне нестандартно», — пишут специалисты.


Специалисты компании Sophos обнаружили, что операторы малвари Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в зараженной системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО. Ragnar Locker — не совсем обычный шифровальщик. Так, его операторы тщательно выбирают цели для атак и не интересуются обычными домашними пользователями. Обычно группировка сосредотачивает свои усилия исключительно на корпоративных сети и правительственных организациях. По данным Sophos, в прошлом эта хак-группа эксплуатировала эндпоинты с RDP, доступные из интернета, а также компрометировала поставщиков управляемых услуг (Managed services providers, MSP), чтобы получить доступ к внутренним сетям компаний. В скомпрометированных сетях группировка разворачивает Ragnar Locker, тщательно настроив шифровальщика под конкретную жертву. Затем хакеры требуют огромный выкуп за расшифровку данных (­в размере от нескольких десятков до сотен тысяч долларов США). К примеру, в апреле текущего года RagnarLocker атаковал сеть энергетического гиганта Energias de Portugal (EDP). Тогда хакеры утверждали, что похитили 10 терабайт конфиденциальных данных и требовали выкуп в размере 1580 биткотнов (примерно 11 млн долларов США), угрожая обнародовать данные, если выкуп не будет выплачен. Из-за используемой тактики операторам Ragnar Locker крайне важна скрытность. Поэтому недавно группировка разработала новый прием, чтобы избежать обнаружения антивирусным ПО. Вместо того, чтобы запускать малварь непосредственно на самом компьютере, который нужно зашифровать, хакеры загружают и устанавливают Oracle VirtualBox. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, а также позволяя взаимодействовать с файлами, расположенными вне ее собственного хранилища. В итоге на зараженной машине осуществляется загрузка виртуальной машины с урезанной версией Windows XP SP3, которая называется MicroXP v0.82. Затем внутри ВМ загружается и запускается и сам Ragnar Locker. Исследователи отмечают, что в итоге полезная нагрузка атаки — это установщик объемом 122 Мб и виртуальный образ, размером 282 Мб. И все это для сокрытия исполняемого файла малвари размером 49 Кб. ­ Так как вымогатель и его процесс vrun.exe работают внутри виртуальной машины, антивирусное ПО оказывается не в силах его обнаружить. С точки зрения антивируса, файлы в локальной системе и на общих дисках внезапно заменяются зашифрованными версиями, но все модификации исходят от легитимного процесса VboxHeadless.exe, то есть за все это ответственно приложение VirtualBox. ­Эксперты Sophos отмечают, что впервые видят шифровальщика, который использует виртуальные машины. «В последние несколько месяцев мы наблюдали развитие вымогателей по нескольким направлениям. Но операторы Ragnar Locker выводят вымогатели на новый уровень и мыслят крайне нестандартно», — пишут специалисты.

Теги: CSS

Просмотров: 516
Комментариев: 0:   25-05-2020, 12:14
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: