I SophosLabs hanno recentemente pubblicato i dettagli di un nuovo sofisticato attacco ransomware che innalza la tattica conosciuta come “living off the land” a un nuovo livello.
Per garantire che il loro ransomware Ragnar Locker da 49 kB funzionasse indisturbato, i truffatori dietro l’attacco hanno acquistato una macchina virtuale Windows XP da 280 MB per eseguirlo (e una copia di Oracle VirtualBox per farlo funzionare).
La cosa è quasi divertente, ma non si tratta di uno scherzo.
L’attacco è stato condotto dalla banda che sta dietro Ragnar Locke, un gruppo di persone che si intromettono nelle reti aziendali, si auto-nominano amministratori, conducono ricognizioni, eliminano i backup e distribuiscono i ransomware manualmente, prima di chiedere un riscatto da milioni di dollari.
Come molti criminali che conducono simili attacchi ransomware “mirati” o “big game”, la banda di Ragnar Locker cerca di evitare il rilevamento mentre opera all’interno della rete di una vittima con una tattica chiamata “living off the land”.
Il “Living off the land” implica l’uso di strumenti software di amministrazione legittimi che esistono già sulla rete o che non sembrano sospetti o fuori posto (PowerShell è il preferito).
I SophosLabs riferiscono che nell’attacco la banda ha utilizzato un task Windows GPO (Group Policy Object) per eseguire Microsoft Installer, che ha scaricato un MSI contenente un certo numero di file, tra cui una copia di VirtualBox e una macchina virtuale Windows XP con l’eseguibile Ragnar Locker all’interno.
VirtualBox è un software hypervisor che può eseguire e amministrare uno o più computer guest virtuali all’interno di un computer host. In genere, i guest vengono esclusi dall’host e i processi in esecuzione all’interno del guest non sono in grado di interagire con il sistema operativo dell’host. Questo per impedire a processi ostili, come i malware, di attaccare l’host o di prenderne il controllo, in quella che è conosciuta come virtual machine escape.
Tuttavia, di solito le protezioni che separano i guest dal loro host partono dall’assunzione di avere un ospite ostile all’interno di un host amichevole. Non è stato questo il caso, perché gli aggressori hanno avuto accesso sia all’ospite che all’host.
Gli attaccanti stavano cercando di creare una situazione contraria a quella normale: un ambiente guest (per loro) amichevole protetto da un host ostile.
Per gli aggressori, la rete della vittima è un ambiente ostile. Il ” living off the land” è progettato per consentire loro di lavorare il più furtivamente possibile, senza innescare alcun allarme nel software di sicurezza della rete. Quando iniziano a eseguire malware sono costretti ad uscire allo scoperto e corrono un rischio molto alto di essere rilevati.
L’esecuzione del malware all’interno di una macchina virtuale ha permesso loro di nasconderlo agli occhi indiscreti del software di sicurezza sull’host.
E poiché gli aggressori controllavano l’host erano facilmente in grado di indebolire il muro che lo separava dal guest.
Lo hanno fatto installando i componenti aggiuntivi di VirtualBox che consentono di condividere i file sull’host con il guest e quindi di rendere accessibili alla macchina virtuale guest ogni disco locale, memoria rimovibile e unità di rete mappata sull’host. Con quelle unità montate all’interno del guest, il ransomware potrebbe crittografare i file su di esse dall’interno del bozzolo protettivo della macchina virtuale.
Nel frattempo, per quanto riguarda il software di sicurezza sull’host, i dati sulla rete locale venivano crittografati da un software legittimo: il VboxHeadless.exe di VirtualBox.
Quindi, dal punto di vista del guest, gli aggressori non sono mai usciti allo scoperto e hanno continuato il loro “living off the land” utilizzando un software legittimo, fino a quando non hanno sganciato la richiesta di riscatto.
Per i dettagli tecnici su questo attacco, leggi l’articolo approfondito di Mark Loman su Ragnar Locker.