Firma de securitate IT Symantec a descoperit recent dovezi că tot mai mulţi atacatori în căutare de recompense prin şantaj (ransomware) folosesc maşini virtuale (VM) pentru a-şi rula atacurile ransomware pe computere compromise. Motivaţia din spatele unei asemenea tactici constă în modul de operare de tip stealth.
Pentru a evita naşterea de suspiciuni sau declanşarea aplicaţiei software antivirus, acţiunea de ransomware va fi “ascunsă” în cadrul unei maşini virtuale în timpul criptării de fişiere pe computerul gazdă. Tactica reprezintă o evoluţie de dată recentă a fenomenului RagnarLocker din 2020. În acea instanţă, atacul ransomware a fost derulat din interiorul unei maşini virtuale Oracle VirtualBox Windows XP.
Investigaţia desfăşurată recent de Symantec a descoperit că atacatorii au trecut recent de la VM folosind sistemul Windows XP la VM rulând Windows 7. Atacurile au fost realizate prin intermediul unor fişiere livrate sub diverse denumiri precum fuckyou.msi, fuck.msi, aa51978f.msi, s3c.msi etc.
Symantec nu a reuşit să obţină o imagine a maşinii virtuale, însă acţiunea probabilă a instalării fişierelor infectate a fost aceea a localizării acţiunii de ransomware pe discul maşinii virtuale şi pornirea automată a ei odată cu pornirea completă a sistemului de operare. Maşina virtuală avea acces la fişierele şi directoarele de pe computerul gazdă, prin intermediul SharedFolders setat de fişierul infectat, fapt care a permis criptarea ilegală a fişierelor de pe computerul gazdă.
Cele descoperite de Symantec arată că atacatorii ransomware îşi rafinează continuu tacticile pentru a fi în faţa programelor de detecţie. Mulţi atacatori se bazează actualmente masiv pe instrumente legitime pentru a orchestra atacuri asupra reţelelor vizate. Atacul ransomware în sine are toate şansele de a alerta sistemele de protecţie ale ţintei, aşa că prin mascarea lui într-o maşină virtuală apar speranţe ca atacul să nu fie descoperit. De aceea, Symantec avertizează firmele că ar trebui să opereze cu o vigilenţă sporită din punct de vedere al instalării neautorizate de maşini virtuale în reţelele proprii.
Soluţiile Symantec de protecţie IT sunt distribuite în România de compania SolvIT Networks.