Semana de la seguridad 22: ransomware en una máquina virtual

La semana pasada, los especialistas de Sophos revelaron los detalles de un interesante troyano de ransomware Ragnar Locket (artículo en ZDNet , publicación técnica en el blog de Sophos). El ransomware arrastra una máquina virtual completa al sistema atacado, en el que se inicia, obtiene acceso al sistema de archivos del host y cifra los datos. Entre otras cosas, este caso muestra que la inflación del instalador ha llegado al malware. Para ocultar el código malicioso real de 49 kilobytes de tamaño, se entrega un instalador de 122 megabytes a la víctima, que se desempaqueta hasta 282 megabytes.

Según Sophos, el ransomware utiliza una agrupación orientada a los negocios. Un ejemplo es el ataque al proveedor de electricidad Energias de Portugal. Supuestamente, les robaron 10 terabytes de datos, y los ciberdelincuentes exigieron el descifrado de 1580 bitcoins. En los medios, una operación de máquina virtual se describe como un truco efectivo para evitar el software antivirus. Pero en realidad, tal "innovación" no requiere ningún cambio en las tecnologías de seguridad.

Solo es necesaria la correcta aplicación de las existentes.

El informe de la compañía no decía exactamente cómo se infecta la computadora. Para lanzar un objeto malicioso, debe convencer al usuario para que lo haga o aprovechar la vulnerabilidad. Solo hay una pista de explotar agujeros o contraseñas simples para una conexión RDP. También se mencionan los ataques a los proveedores de servicios gestionados, en otras palabras, a los administradores remotos de otra empresa que tienen acceso total a la infraestructura de la víctima potencial. Lo suficiente como para hackear una organización así para poder atacar a sus clientes.

Y luego todo es simple. Se instala una máquina virtual Oracle Virtualbox en la computadora, y es increíblemente antigua: la versión de 2009, también en nombre de Sun. Usando el script, se transmiten los parámetros de configuración de la máquina virtual. Se lanza una imagen truncada de Windows XP (MicroXP 0.82, compilación 2008). Se establece una conexión de red virtual y aumenta el acceso a todos los discos en el host:

El proceso de cifrado no se describe en la publicación de Sophos. Ante él, otro script cierra la lista de aplicaciones y servicios en el sistema principal para desbloquear los archivos editables. Al final, se coloca un archivo de texto con una demanda de rescate en la computadora atacada.

No hay tecnologías avanzadas aquí: esta es una máquina virtual preparada y un montón de scripts. Desde el punto de vista de una solución protectora, tal ataque no difiere fundamentalmente de la apariencia en la red corporativa de una computadora infectada con acceso a carpetas de red. Sí, hay un matiz: obviamente, el software malicioso en la máquina atacada ni siquiera aparece: está oculto dentro de una imagen virtual y solo se inicia el software legítimo.

El problema se resuelve analizando el comportamiento del programa o las acciones desde la computadora remota en busca de marcadores claros "Quiero encriptar algo aquí". Una forma curiosa de ahorrar en el desarrollo de complejas tecnologías maliciosas.

Que mas paso

The Register ha publicado detalles del ataque a EasyJet. Entre octubre de 2019 y enero de 2020, los ciberdelincuentes robaron información de tarjetas de crédito de un número relativamente pequeño de clientes (según cifras oficiales, alrededor de 2200). A juzgar por los informes de las víctimas, la filtración de información de reservas (pero no de datos de pago) ha afectado a millones de usuarios.

Trustwave informa que los atacantes usan el servicio Google Firebase. Un servicio creado para desarrolladores se utiliza para alojar páginas de phishing. Este es solo uno de los muchos intentos de usar las herramientas legítimas de Google en ciberataques.

Los ciberdelincuentes atacan los servicios para pagar una indemnización a las víctimas de una pandemia. Fresco (pero no el único)Un ejemplo son los ataques a los servicios gubernamentales en los Estados Unidos. El grupo, que supuestamente opera desde Nigeria, utiliza datos de residentes y empresas para enviar una compensación a su cuenta bancaria. Fue

arrestado el supuesto distribuidor de la base de datos de nombre de usuario y contraseña conocida como Colección 1. Originalmente disponible en el mercado negro, esta base de datos de 773 millones de entradas se puso a disposición del público en enero pasado.

Investigadores del Reino Unido, Alemania y Suiza encontraron una nueva vulnerabilidad en el protocolo Bluetooth ( noticias , trabajos de investigación) Las deficiencias en el proceso de autorización permiten a un atacante simular un dispositivo con el cual la víctima ya ha establecido una conexión. El problema se confirmó en una muestra de 31 dispositivos con Bluetooth, en 28 conjuntos de chips diferentes.