Sommaire
Pouvez-vous expliquer en termes simples comment le gang Ragnar Locker a utilisé la machine virtuelle pour déployer l'exécutable du rançongiciel?
C'est la première fois que nous voyons des machines virtuelles utilisées pour les ransomwares. Le gang Ragnar Locker a intégré l'exécutable du rançongiciel sur l'image disque virtuelle (VDI) de la machine virtuelle (VM). L'exécutable du rançongiciel n'est pas envoyé sur le réseau et n'est pas exécuté sur le point de terminaison physique, mais s'exécute uniquement sur la machine virtuelle.
Sur la machine physique, les actions du ransomware dans la machine virtuelle sont tunnelisées et exécutées par un processus bien connu et normalement approuvé. Un signe révélateur est une utilisation élevée du processeur par un seul processus et l'écriture en masse dans des documents existants et d'autres fichiers. Le meilleur outil pour se défendre contre ce type d'attaque est un outil de sécurité (anti-ransomware) spécialement conçu pour détecter les écritures de fichiers de masse inhabituelles via une surveillance comportementale avec une attitude de confiance nulle.
En plus d'être une nouvelle technique, qu'est-ce qui est si menaçant avec cette méthode d'attaque?
L'attaque cache l'exécutable du rançongiciel dans un fichier relativement volumineux, d'un type de fichier que les outils de sécurité ne traitent généralement pas: une image de disque virtuel (VDI). De plus, l'exécutable du rançongiciel s'exécute sur une machine virtuelle et, en raison de la technologie sous-jacente d'hyperviseur, n'est pas visible par les outils de sécurité sur la machine physique.
Bien que cette tentative n'ait pas réussi, pensez-vous qu'avec l'utilisation croissante des machines virtuelles, cette tactique deviendra plus avisée et donc plus efficace?
Bien qu'il s'agisse d'une attaque audacieuse, elle est également bruyante en raison de son empreinte et de son utilisation élevée du processeur. Dans les réseaux qui n'ont pas investi dans la protection contre les ransomwares, cette attaque peut réussir, mais je ne pense pas que nous verrons cette approche devenir courante.
Selon vous, quel type d'organisations est le plus menacé par cette technique?
Étant donné que davantage d'attaques de rançongiciels sont opérées par l'homme, chaque organisation est une cible. Ils doivent tous être préparés et avoir un plan de relance (imprimé sur papier). Un e-mail de spam ou de phishing réussi, un port RDP exposé, une passerelle vulnérable exploitable ou des informations d'accès à distance volées suffisent pour que ces adversaires actifs prennent pied. Cependant, avec plus de gangs criminels demandant des millions de dollars en demandes de rançon, il est clair que les grandes organisations avec plus d'argent et une plus grande surface d'attaque sont plus à risque.
Que devons-nous savoir d'autre?
Au cours des derniers mois, nous avons vu le ransomware évoluer de plusieurs manières. Mais les adversaires de Ragnar Locker prennent le ransomware à un nouveau niveau et pensent en dehors des sentiers battus.
Ils déploient un hyperviseur bien connu et fiable sur des centaines de points de terminaison simultanément, ainsi qu'une image de disque virtuel (VDI) préinstallée et préconfigurée garantie pour exécuter leur ransomware.
«Comme un fantôme capable d'interagir avec le monde matériel, leur machine virtuelle est adaptée par point de terminaison, de sorte qu'elle peut chiffrer les disques locaux et les lecteurs réseau mappés sur la machine physique depuis l'intérieur du plan virtuel et hors du domaine de détection de la plupart des protections de point de terminaison des produits. Les frais généraux impliqués pour exécuter secrètement leur ransomware de 50 kilo-octets semblent être une décision audacieuse et bruyante, mais pourraient être rentables dans certains réseaux qui ne sont pas correctement protégés contre les ransomwares.
Mark Loman est directeur de l'ingénierie, Threat Mitigation chez Sophos.
