اپراتورهای باج‌افزار RagnarLocker با نصب برنامه VirtualBox و اجرای ماشین‌های مجازی بر روی رایانه‌های هدف، آن را در یک محیط امن و خارج از دسترس آنتی‌ویروس‌ها اجرا می‌کنند.

اپراتورهای باج‌افزار RagnarLocker با نصب برنامه VirtualBox و اجرای ماشین‌های مجازی بر روی رایانه‌های هدف، آن را در یک محیط امن و خارج از دسترس آنتی‌ویروس‌ها اجرا می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باج‌افزار جدیدی با نام RagnarLocker کشف شده‌است که اپراتورهای آن با نصب برنامه VirtualBox و اجرای ماشین‌های مجازی بر روی رایانه‌های هدف، باج‌افزار خود را در یک محیط امن و خارج از دسترس نرم‌افزارهای ضد‌ویروس اجرا می‌کنند.

این ترفند جدید که توسط شرکت Sophos مورد توجه و بررسی قرار گرفته، نشان‌دهنده خلاقیت و تلاش بسیار برخی از گروه‌های باج‌افزاری برای جلوگیری از شناسایی در هنگام حمله به قربانی است.

RagnarLocker یک گروه باج‌افزاری معمولی نیست و اپراتورهای آن اهداف را با دقت انتخاب می‌کنند. آنها از هدف قراردادن کاربران خانگی جلوگیری می‌کنند و فقط به دنبال شبکه‌های شرکت‌ها و سازمان‌های دولتی می‌روند.

Sophos می‌گوید این گروه در گذشته قربانیان را با سوء‌استفاده از پورت‌های RDP در معرض اینترنت مورد هدف قرار داده و ابزار MSP (managed service provider) را برای نفوذ به سازمان‌ها و دسترسی به شبکه‌های داخلی آن‌ها مورد بهره‌برداری قرار داده است. در این شبکه‌ها، گروه RagnarLocker نسخه‌ای از باج‌افزار خود را که به‌ازای هر قربانی سفارشی‌سازی شده‌است، مستقر می‌کند و سپس هزینه رمزگشایی با نرخی نجومی را درخواست می‌کند.

از آنجا که هرکدام از این نفوذهای برنامه‌ریزی شده فرصتی برای کسب درآمد زیاد هستند، گروه RagnarLocker از ترفند جدیدی استفاده می‌کند تا از تشخیص آن توسط نرم‌افزارهای ضد ویروس جلوگیری کند.

این ترفند بسیار ساده و در عین حال هوشمندانه است. گروه RagnarLocker بجای اجرای مستقیم باج‌افزار، برنامه Oracle VirtualBox را بارگیری و نصب می‌کند. این برنامه به کاربر امکان اجرای ماشین مجازی را فراهم می‌کند. در ادامه این گروه ماشین مجازی را پیکربندی می‌کند تا دسترسی کامل به همه درایوهای محلی و مشترک را داشته باشد و به ماشین مجازی امکان تعامل با فایل‌های ذخیره شده در خارج از حافظه داخلی خود را می‌دهد.

قدم بعدی بوت شدن دستگاه مجازی و اجرای یک نسخه از سیستم عامل Windows XP SP۳ با نام MicroXP v۰,۸۲ است.

مرحله آخر بارگیری باج‌افزار در دستگاه مجازی و اجرای آن است. از آنجا که این باج‌افزار درون ماشین مجازی اجرا می شود، برنامه‌های ضد ویروس قادر به شناسایی فرآیند مخرب آن نیستند. از منظر نرم‌افزار ضد ویروس، فایل‌های موجود در سیستم محلی و درایوهای اشتراکی به طور ناگهانی با نسخه‌های رمزگذاری شده آنها جایگزین می‌شوند، و اینطور به نظر می‌رسد که تمام تغییرات فایل‌ها از یک فرآیند قانونی - یعنی برنامه VirtualBox - ناشی می‌شوند.

به گفته پژوهشگران Sophos، این مورد اولین باری است که سوء‌استفاده از ماشین‌های مجازی توسط یک گروه باج‌افزاری انجام شده‌است.