מתקפות סייבר
תוכנת הכופר Ragnar Locker מפעילה מכונה וירטואלית כדי לחמוק מתוכנות אבטחה
חברת סופוס, מובילה גלובלית באבטחת סייבר של הדור הבא, זיהתה שיטת פעולה חדשה של תוכנת כופר שלוקחת את החמקנות לרמה חדשה – הפעלה של מכונה וירטואלית חדשה בכל מכשיר מודבק כדי להסתיר את פעילותה ולהתחמק מתוכנות אבטחה.
בהתקפה שזוהתה לאחרונה על ידי סופוס, תוכנת הכופר Ragnar Loacker הופעלה בתוך מכונה וירטואלית מסוג Oracle VirtualBox Windows XP. המטען של הנוזקה היה תוכנת התקנה בגודל 122 מגה ביט, שהכילה אימג' וירטואלי בגודל 282 מגה ביט – וכל זאת כדי להסתיר קובץ כופר בגודל של של 49 קילו ביט בלבד.
מבלוג שכתב מארק לומן, מנהל הנדסת מזעור איומים בסופוס, עולה כי הגורמים שמאחורי Ragnar Locker ידועים בגניבה של נתונים מרשתות לפני הפעלת תוכנת הכופר, על מנת לגרום לקורבנות לשלם. באפריל, אותו גורם איום תקף את הרשת של Energias de Portugal, בטענה שהצליח לגנוב 10 טרה של נתוני חברה רגישים. הוא דרש תשלום של 1,580 ביטקוין (כ-11 מיליון דולר) ואיים לפרסם את הנתונים אם לא ישולם הכופר.
בהתקפות קודמות, קבוצת Ragnar Loacker ניצלה פרצות של ספקי שירותים או התקפות על פרוטוקול הגישה מרחוק של חלונות (RDP) כדי להשיג גישה לרשתות המטרה. לאחר שהשיגו גישה ברמת אדמין לדומיין, וחילצו ממנו את הנתונים, הם השתמשו בכלים מובנים במערכת חלונות, כגון Powershell ו- Windows Group Policy Objects (GPO) כדי לבצע תנועה רוחבית ברשת אל מכשירים ושרתים נוספים מבוססי חלונות.
בהתקפה שזוהתה על ידי סופוס, גורם האיום השתמש במשימת GPO כדי להפעיל את מתקין החלונות (msiexec.exe), עם הפרמטרים המתאימים להורדה משרת מרוחק והתקנה שקטה של חבילת MSI, בלתי חתומה, בגודל 122 מגה. החבילה כללה הייפרווייזור ישן משנת 2009, מסוג Oracle Virtual Box, ואימג' של דיסק וירטואלי (VDI) בשם micro.vdi. לאחר התקנה של תוספים ל-VirtualBox, הקוד ניטרל את שירות זיהוי החומרה של חלונות במטרה לבטל הודעות על הפעלה אוטומטית. בהמשך, הקוד פתח את האפשרות להשתמש בכל הכוננים המקומיים, המכשירים הנתיקים וכונני הרשת, על ידי המכונה הוירטואלית שנוצרה.
לאחר שהסביבה הוירטואלית הייתה מוכנה וקבלה הרשאות גישה לכל הנתונים, היא הריצה את קוד ההצפנה הזדוני ופנתה להצפנה של כל המערכות הנגישות. ההרצה של קוד ההצפנה מתוך הסביבה הוירטואלית מנעה מרוב מוצרי ההגנה לנקודות קצה את יכולת הזיהוי והעצירה של האיום.
לדברי לומן, "בחודשים האחרונים חזינו את ה-ransomware מתפתח במספר דרכים. אלא שהגורמים מאחורי Ragnar Loacker לקחו את הדברים לרמה חדשה עם חשיבה מחוץ לקופסה. הם מפעילים הייפרווייזור מוכר ואמין במאות נקודות קצה במקביל, באמצעות אימג' של דיסק וירטואלי מוגדר ומותקן מראש, המבטיח את הרצת תוכנת הכופר. בדומה לרוח רפאים המסוגלת לתקשר עם העולם הפיסי, המכונה הוירטואלית שלהם תפורה בדיוק לנקודת הקצה, כך שהיא יכולה להצפין את הדיסקים המקומיים ולמפות את כונני הרשת במכונה הפיסית, והיא עושה זאת מתוך המישור הוירטואלי ומחוץ לטווח הגילוי של רוב מוצרי ההגנה לנקודות קצה. המטען העודף הנדרש להפעלת תוכנת הכופר שלהם, השוקלת 50 קילובייט בלבד, נראה כמו מהלך רעשני ונועז, אבל ייתכן והוא ישתלם בחלק מהרשתות שאינן מוגנות כראוי מפני תוכנות כופר", אמר לומן. "זו הפעם הראשונה בה ראינו מכונה וירטואלית המשמשת להפעלת תוכנת כופר".
חשוב לציין שרכיב ה-CryptoGuard ב-Sophos Central Intercept X Advanced עוצר את ההתקפה הזו על ידי מעקב אחר התנהגות.