La semana pasada, SophosLabs publicó los detalles de un nuevo y sofisticado ataque de ransomware que lleva la popular táctica de “living off the land” a un nuevo nivel.
Para asegurarse de que el ransomware Ragnar Locker de 49 kB funcione sin interrupciones, los ciberdelincuentes detrás del ataque compraron una máquina virtual de Windows XP de 280 MB para lanzarlo (y una copia de Oracle VirtualBox para ejecutarla).
Es casi gracioso, pero no es una broma.
Ragnar Locker se introduce en las redes de la empresa, se hacen administradores, realizan reconocimientos, eliminan copias de seguridad y despliegan manualmente el ransomware, antes de exigir rescates multimillonarios.
Al igual que muchos criminales que realizan ataques similares con rescates “dirigidos” o “de gran envergadura”, Ragnar Locker trata de evitar la detección mientras opera dentro de la red de la víctima con una táctica llamada “living off the land”.
“Living off the land” implica utilizar herramientas legítimas de administración de software que o bien ya existen en la red en la que han entrado los ladrones, o bien no parecen sospechosas o fuera de lugar (PowerShell es una de las favoritas).
SophosLabs informa que en el ataque, la banda utilizó una tarea GPO (Group Policy Object) de Windows para ejecutar el Microsoft Installer, que descargó un MSI que contiene varios archivos, incluyendo una copia de VirtualBox y una máquina virtual de Windows XP con el ejecutable Ragnar Locker dentro.
VirtualBox es un hipervisor que puede ejecutar y administrar uno o más ordenadores virtuales invitados dentro de un ordenador central. Típicamente, los huéspedes están sellados del anfitrión, y los procesos que se ejecutan dentro del huésped no pueden interactuar con el sistema operativo del anfitrión. Esto es para evitar que procesos hostiles, como el malware, ataquen al anfitrión o se apoderen de él, en lo que se conoce como un escape de máquina virtual.
Sin embargo, las protecciones que separan a los huéspedes de su anfitrión asumen un huésped hostil dentro de un anfitrión amigo, y ese no fue el caso, porque los atacantes tuvieron acceso tanto al huésped como al anfitrión.
De hecho, desde la perspectiva de los atacantes estaban tratando de crear lo contrario de la situación normal – un ambiente de huésped amistoso (para ellos) protegido de un anfitrión hostil.
Para los atacantes, la red de la víctima es un entorno hostil. “Living off the land” está diseñado para permitirles trabajar de la forma más sigilosa posible, sin activar ninguna alarma en el software de seguridad de la red. Cuando empiezan a ejecutar malware se han descubierto y corren un riesgo mucho mayor de ser detectados.
Ejecutar su malware dentro de una máquina virtual les permitió ocultarlo de las miradas indiscretas del software de seguridad del host.
Y debido a que los atacantes controlaban al anfitrión, pudieron debilitar fácilmente el muro entre el anfitrión y el huésped.
Lo hicieron instalando complementos de VirtualBox que permiten compartir archivos en el host con el huésped, y luego haciendo que cada disco local, almacenamiento extraíble y unidad de red mapeada en el host sea accesible a la máquina virtual del huésped. Con esas unidades montadas dentro del huésped, el ransomware podía cifrar los archivos en ellas desde el interior del entorno protector de la máquina virtual.
Mientras tanto, en lo que respecta al software de seguridad del anfitrión, los datos de la red local estaban siendo cifrados por un software legítimo: el proceso VboxHeadless.exe de VirtualBox.
Así que, desde la perspectiva del anfitrión, los atacantes nunca rompieron su tapadera y continuaron “living off the land”, usando software legítimo, hasta que pidieron el rescate.
Para conocer los detalles técnicos de este ataque, consulta el artículo en profundidad de Mark Loman sobre Ragnar Locker.
Dejar un comentario