Security Week 22: ransomware dans une machine virtuelle

La semaine dernière, les spécialistes de Sophos ont révélé les détails d'un cheval de Troie de cryptage intéressant Ragnar Médaillon (article paru dans ZDNet , technique après sur le blog de Sophos). Le ransomware fait glisser une machine virtuelle à part entière dans le système attaqué, dans lequel il démarre, obtient l'accès au système de fichiers hôte et crypte les données. Entre autres choses, ce cas montre que l'inflation de l'installateur a atteint les logiciels malveillants. Pour masquer le code malveillant réel de 49 kilo-octets, un programme d'installation de 122 mégaoctets est remis à la victime, qui est décompressé à 282 mégaoctets.

Selon Sophos, le ransomware utilise un groupement orienté métier. Un exemple est l'attaque contre le fournisseur d'électricité Energias de Portugal. Il semblerait que 10 téraoctets de données leur ont été volés et 1580 bitcoins ont été demandés pour le décryptage par des cybercriminels. Dans les médias, une opération de machine virtuelle est décrite comme une astuce efficace pour contourner le logiciel antivirus. Mais en réalité, une telle «innovation» ne nécessite aucun changement dans les technologies de sécurité.

Seule l'application correcte de celles existantes est nécessaire.

Le rapport de la société ne précise pas exactement comment l'ordinateur est infecté. Pour lancer un objet malveillant, vous devez soit convaincre l'utilisateur de le faire, soit profiter de la vulnérabilité. Il n'y a qu'un soupçon d'exploiter des trous ou de simples mots de passe pour une connexion RDP. Les attaques contre les fournisseurs de services gérés, en d'autres termes, les administrateurs distants d'une autre entreprise qui ont un accès complet à l'infrastructure de la victime potentielle, sont également mentionnés. De quoi pirater une telle organisation pour pouvoir attaquer ses clients.

Et puis tout est simple. Une machine virtuelle Oracle Virtualbox est installée sur l'ordinateur, et elle est incroyablement ancienne - la version 2009, également au nom de Sun. A l'aide du script, les paramètres de configuration de la machine virtuelle sont transmis. Une image tronquée de Windows XP est lancée (MicroXP 0.82, build 2008). Une connexion réseau virtuelle est établie et l'accès à tous les disques sur l'hôte augmente:

Le processus de chiffrement n'est pas décrit dans la publication Sophos. Avant lui, un autre script ferme la liste des applications et services du système principal afin de déverrouiller les fichiers modifiables. À la fin, un fichier texte avec une demande de rançon est placé sur l'ordinateur attaqué.

Il n'y a pas de technologies avancées ici: il s'agit d'une machine virtuelle préparée et d'un tas de scripts. Du point de vue d'une solution de protection, une telle attaque ne diffère pas fondamentalement de l'apparition sur le réseau de l'entreprise d'un ordinateur infecté ayant accès aux dossiers réseau. Oui, il y a une nuance - de toute évidence, aucun logiciel malveillant sur la machine attaquée n'apparaît: il est caché dans une image virtuelle, et seul un logiciel légitime est lancé.

Le problème est résolu en analysant le comportement du programme ou des actions de l'ordinateur distant pour des marqueurs clairs "Je veux chiffrer quelque chose ici." Une façon curieuse d'économiser sur le développement de technologies malveillantes complexes.

Que s'est-il passé d'autre

Le Registre a publié les détails de l'attaque contre EasyJet. Entre octobre 2019 et janvier 2020, les cybercriminels ont volé des informations de carte de crédit à un nombre relativement faible de clients (selon les chiffres officiels, environ 2200). A en juger par les rapports des victimes, la fuite des informations de réservation (mais pas des données de paiement) a touché des millions d'utilisateurs.

Trustwave rapporte que les attaquants utilisent le service Google Firebase. Un service créé pour les développeurs est utilisé pour héberger des pages de phishing. Ce n'est là qu'une des nombreuses tentatives d'utilisation des outils légitimes de Google dans les cyberattaques.

Les cybercriminels attaquent les services pour indemniser les victimes d'une pandémie. Frais (mais pas le seul)un exemple est les attaques contre les services gouvernementaux aux États-Unis. Le groupe, qui opèrerait depuis le Nigéria, utilise des données de résidents et d'entreprises pour envoyer une compensation sur son compte bancaire.

Le prétendu distributeur de la base de données de noms d'utilisateur et de mots de passe connue sous le nom de Collection 1. a été arrêté . Initialement disponible sur le marché noir, cette base de données de 773 millions d'entrées a été rendue publique en janvier dernier.

Des chercheurs du Royaume-Uni, d'Allemagne et de Suisse ont découvert une nouvelle vulnérabilité dans le protocole Bluetooth ( actualités , travaux de recherche) Des lacunes dans le processus d'autorisation permettent à un attaquant de simuler un appareil avec lequel la victime a déjà établi une connexion. Le problème a été confirmé sur un échantillon de 31 appareils avec Bluetooth, sur 28 chipsets différents.