Minggu Keamanan 22: ransomware di mesin virtual

Pekan lalu, spesialis Sophos mengungkapkan detail trojan enkripsi Ragnar Locket yang menarik (artikel di ZDNet , posting teknis di blog Sophos). Ransomware menyeret mesin virtual lengkap ke sistem yang diserang, di mana ia dimulai, mendapatkan akses ke sistem file host dan mengenkripsi data. Antara lain, kasus ini menunjukkan bahwa inflasi pemasang telah mencapai malware. Untuk menyembunyikan kode berbahaya sebenarnya berukuran 49 kilobyte, penginstal 122 megabita dikirimkan kepada korban, yang didekompresi menjadi 282 megabita.

Menurut Sophos, ransomware menggunakan pengelompokan yang berorientasi bisnis. Contohnya adalah serangan terhadap pemasok listrik Energias de Portugal. Diduga, 10 terabyte data dicuri darinya, dan 1580 bitcoin dituntut untuk didekripsi oleh penjahat cyber. Di media, operasi mesin virtual digambarkan sebagai trik yang efektif untuk memotong perangkat lunak antivirus. Namun dalam kenyataannya, "inovasi" seperti itu tidak memerlukan perubahan dalam teknologi keamanan.

Hanya aplikasi yang benar dari yang sudah ada yang diperlukan.

Laporan perusahaan tidak menyebutkan secara pasti bagaimana komputer itu terinfeksi. Untuk meluncurkan objek jahat, Anda harus meyakinkan pengguna untuk melakukan ini atau memanfaatkan kerentanannya. Hanya ada sedikit petunjuk tentang mengeksploitasi lubang atau kata sandi sederhana untuk koneksi RDP. Serangan terhadap Penyedia Layanan Terkelola, dengan kata lain, administrator jarak jauh dari perusahaan lain yang memiliki akses penuh ke infrastruktur calon korban, juga disebutkan. Cukup untuk meretas organisasi seperti itu untuk dapat menyerang pelanggannya.

Dan kemudian semuanya sederhana. Mesin virtual Oracle Virtualbox diinstal pada komputer, dan ini sangat kuno - rilis 2009, juga atas nama Sun. Menggunakan skrip, parameter konfigurasi mesin virtual dikirim. Gambar terpotong dari Windows XP diluncurkan (MicroXP 0.82, build 2008). Koneksi jaringan virtual dibuat dan akses ke semua disk di host meningkat:

Proses enkripsi tidak dijelaskan dalam publikasi Sophos. Sebelum dia, skrip lain menutup daftar aplikasi dan layanan pada sistem utama untuk membuka kunci file yang dapat diedit. Pada akhirnya, file teks dengan permintaan tebusan ditempatkan pada komputer yang diserang.

Tidak ada teknologi canggih di sini: ini adalah mesin virtual yang disiapkan dan banyak skrip. Dari sudut pandang solusi perlindungan, serangan semacam itu tidak berbeda secara mendasar dari penampilan di jaringan perusahaan komputer yang terinfeksi dengan akses ke folder jaringan. Ya, ada nuansa - perangkat lunak yang jelas-jelas berbahaya pada mesin yang diserang bahkan tidak muncul: tersembunyi di dalam gambar virtual, dan hanya perangkat lunak yang sah yang diluncurkan.

Masalahnya diselesaikan dengan menganalisis perilaku program atau tindakan dari komputer jarak jauh untuk spidol yang jelas "Saya ingin mengenkripsi sesuatu di sini." Cara penasaran untuk menghemat pengembangan teknologi berbahaya yang kompleks.

Apa lagi yang terjadi

Register telah menerbitkan rincian serangan di EasyJet. Antara Oktober 2019 dan Januari 2020, penjahat cyber mencuri informasi kartu kredit dari sejumlah kecil pelanggan (menurut angka resmi, sekitar 2.200). Dilihat oleh laporan para korban, kebocoran informasi reservasi (tetapi bukan data pembayaran) telah mempengaruhi jutaan pengguna.

Trustwave melaporkan bahwa penyerang menggunakan layanan Google Firebase. Layanan yang dibuat untuk pengembang digunakan untuk meng-host halaman phishing. Ini hanyalah salah satu dari banyak upaya untuk menggunakan alat Google yang sah dalam serangan cyber.

Penjahat dunia maya menyerang layanan untuk membayar kompensasi kepada para korban pandemi. Segar (tapi bukan satu-satunya)contohnya adalah serangan terhadap layanan pemerintah di Amerika Serikat. Kelompok itu, yang diduga beroperasi dari Nigeria, menggunakan data dari penduduk dan perusahaan untuk mengirim kompensasi ke rekening bank mereka. Distributor yang diduga sebagai basis data nama pengguna dan kata sandi yang dikenal sebagai Collection 1.

ditangkap . Awalnya tersedia di pasar gelap, database 773 juta entri ini dibuat tersedia untuk umum Januari lalu.

Para peneliti dari Inggris, Jerman dan Swiss menemukan kerentanan baru dalam protokol Bluetooth ( berita , pekerjaan penelitian) Kekurangan dalam proses otorisasi memungkinkan penyerang untuk mensimulasikan perangkat dengan mana korban telah membuat koneksi. Masalahnya dikonfirmasi pada sampel 31 perangkat dengan Bluetooth, pada 28 chipset berbeda.