RagnarLocker

RagnarLocker è un ransomware rilasciato a fine 2019 noto per l'uso delle tecniche di virtual machine escape per nascondersi dalla rilevazione.

Storia

Presumibilmente scritto nell'Europa dell'est, non attacca infatti i computer con un layout di tastiera o lingua di sistema corrispondente a quello di un Paese dell'ex URSS e ha compiuto il primo attacco degno di nota a metà aprile contro la compagnia elettrica portoghese Energias de Portugal, dov'è stato compiuto anche un leak di 10 TB.^[1].

Funzionamento

Il malware effettua un controllo del sistema operativo e se rileva un'impostazione coerente con quella dei Paesi dell'ex URSS sospende l'esecuzione, altrimenti invia una copia dei file al server centrale e ferma tutti i servizi contenenti le seguenti stringhe^[2]:

vss
sql
memtas
mepocs
sophos
veeam
backup
pulseway
logme
logmein
connectwise
splashtop
kaseya

Il malware deposita dunque un file contenente un'installazione di VirtualBox con un'immagine di Windows XP che include il ransomware propriamente detto, che pesa appena 49 kB. Il sistema è appositamente impostato per poter vedere i file del computer host e viene eseguito tramite uno script batch che avvia la macchina virtuale. Secondo gli analisti di Sophos il malware viene compilato appositamente per ogni vittima.^[3]

Grazie a questa tecnica l'intero carico virale resta limitato nel sistema virtuale e le operazioni sui file risultano, per i software di sicurezza, perfettamente legittime ed eseguite dall'applicativo di VirtualBox.^[3]

Note

1. ^ Portuguese energy giant hit by ransomware attack, su power-eng.com. URL consultato il 22 maggio 2020 (archiviato dall'url originale l'8 giugno 2020).
2. ^ Ragnar Locker - MalwareWiki, su malware.wikia.org. URL consultato il 22 maggio 2020 (archiviato dall'url originale il 24 aprile 2020).
3. Ragnar Locker ransomware deploys virtual machine to dodge security

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica