Эксперты компании Sophos обнаружили, что операторы шифровальщика Ragnar Locker используют Oracle VirtualBox и образ виртуальной машины Windows XP для запуска малвари в "безопасной" и недоступной для антивируса, установленного на компьютере, среде.

Операторы шифровальщика Ragnar Locker тщательно выбирают цели для атак и не интересуются обычными домашними пользователями. Группировка сосредотачивает свои усилия исключительно на крупных корпорациях и правительственных организациях. По данным Sophos, в прошлом эта хакерская группировка эксплуатировала RDP-уязвимости, а также компрометировала поставщиков управляемых услуг (Managed services providers, MSP), чтобы получить доступ к внутренним сетям компаний.

В скомпрометированных сетях злоумышленники разворачивает Ragnar Locker, тщательно настроив шифровальщика под конкретную жертву. После успешного проведения направленной атаки кибер-преступники требуют большой выкуп за расшифровку данных, измеряющийся десятками, а иногда даже сотнями тысяч долларов США. К примеру, в апреле 2020 Ragnar Locker атаковал сеть энергетического гиганта Energias de Portugal (EDP). Тогда злоумышленники заявляли, что похитили 10 терабайт конфиденциальных данных и требовали выкуп в размере 1580 BTC (около 11 000 000 долларов США), шантажируя жертву раскрытием украденной информации в случае, если выкуп не будет выплачен.

Успешность атаки зависит от способности скрывать присутствие вредоносной деятельности в периметре сети жертвы, поэтому недавно хакеры начали использовать новый прием, чтобы избежать обнаружения антивирусным ПО.

Вместо того чтобы запускать шифровальщик непосредственно на самом компьютере жертвы, хакеры загружают и устанавливают Oracle VirtualBox и образ виртуальной машины с Windows XP. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, а также позволяя взаимодействовать с файлами, расположенными вне ее собственного хранилища.

В результате на зараженном компьютере запускается виртуальная машина с урезанной версией Windows XP (Service Pack 3), которая загружает и запускает компоненты шифровальщика Ragnar Locker.

Вирус-вымогатель и его процесс vrun.exe фактически работают внутри виртуальной машины и антивирусная программа материнской операционной системы не в силах его обнаружить. С точки зрения антивируса, файлы в локальной системе и на общих дисках внезапно заменяются зашифрованными версиями, но все модификации исходят от легитимного процесса VboxHeadless.exe, являющегося частью Oracle VirtualBox.