Pour gérer vos consentements :
Categories: RansomwareSécurité

Ragnar : le ransomware s’habille en VM

Comment se protéger des antivirus ? En se cachant dans une machine virtuelle. Des chercheurs de Sophos se sont intéressés à un ransomware qui exploite cette technique : Ragnar Locker.

On en a connaissance depuis fin 2019. Parmi ses victimes récentes figure le groupe Energias de Portugal. Les auteurs de l’attaque disent avoir pu récupérer puis chiffrer plus de 10 To de données.

La méthode « traditionnelle » pour exploiter Ragnar Locker consiste à exploiter des failles dans des logiciels d’infogérance. La latéralisation peut se faire à travers les objets de stratégie de groupe (GPO), destinés à appliquer des politiques de sécurité sur des systèmes Windows en environnement Active Directory.

La version que présente Sophos utilise les GPO pour exécuter le moteur d’installation MSI et télécharger un fichier à ce format (.msi).

Ce paquet comprend un installeur de Sun xVM VirtualBox (version 3.0.4, datée d’août 2009) et une image disque (.vdi) basée sur MicroXP 0.82, version « légère » de Windows XP SP3.
Le tout est copié dans C:\Program Files\[x86] \VirtualAppliances.

Inception

Ce sont les deux principales composantes de l’attaque, mais il y en a d’autres. Notamment un exécutable va.exe qui lance un script install.bat. Lequel :

  • installe les DLL et les pilotes nécessaires pour VirtualBox ;
  • désactive ensuite le service Windows Shell Hardware Detection, afin d’éviter l’affichage d’une fenêtre de lecture automatique ;
  • supprime les éventuelles sauvegardes réalisées avec Shadow Copy, pour empêcher la restauration des fichiers qui seront chiffrés ;
  • inscrit, dans un fichier de configuration (.xml), les disques locaux, les lecteurs réseau et les supports amovibles ;
  • tue certains processus répertoriés dans deux listes (antivirus, applications métier, outils de backup, administration à distance…).

La VM se lance alors, en mode headless, avec 256 Mo de RAM, un vCPU et un disque virtuel de 299 Mo. Ragnar (vrun.exe) y est exécuté par l’intermédiaire d’un script (vrun.bat) lancé automatiquement au démarrage et qui monte, au préalable, les volumes détectés sur le système hôte. Il ne lui reste plus qu’à les chiffrer, à l’abri des logiciels de sécurité, qui ne voient que le processus VBoxHeadless.exe.

Illustration principale © Nmedia – Fotolia.com

Share
Published by
Clément Bohic
Tags: VirtualBox
4 années ago

Recent Posts

Comment l’Hôpital Américain de Paris planifie son stockage à long terme

Les performances évolutives et les mécanismes de protection de la donnée offrent aux 335 médecins…

3 heures ago

Évaluation des LLM : les arbitrages de Salesforce

Salesforce a entrepris un benchmark des LLM sur des cas d'usage CRM. Comment l'a-t-il orchestré…

3 heures ago

Ce qu’il faut savoir sur Moshi, l’IA vocale de Kyutai

Kyutai a officialisé son IA vocale Moshi et en a ouvert une démo au public.…

7 heures ago

L’app MFA Authy mise à mal par une API non sécurisée

Une API sans authentification a permis à des tiers de valider les numéros de téléphone…

10 heures ago

Les logiciels libres entrés au SILL au deuxième trimestre 2024

D'AgentJ à YesWiki, voici les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago

WSL2 fait le grand saut vers Linux 6.6

En parallèle de diverses expérimentations, Microsoft livre une première version de WSL2 basée sur Linux…

1 jour ago