Ransomware ομάδες χρησιμοποιούν εικονικές μηχανές για να «καλύψουν» τις επιθέσεις τους
Οι
κυβερνοεγκληματίες
χρησιμοποιούν όλο και περισσότερο
εικονικές μηχανές
(virtual machines) για να
παραβιάσουν
δίκτυα
με ransomware
. Χρησιμοποιώντας
εικονικές μηχανές
ως μέρος των επιθέσεών τους, οι
ransomware
ομάδες
είναι σε θέση να διεξάγουν τη δραστηριότητά τους με επιπλέον «λεπτότητα», επειδή η εκτέλεση του payload σε ένα virtual περιβάλλον
μειώνει τις πιθανότητες να γίνει αντιληπτή η δραστηριότητα
, έως ότου να είναι πολύ αργά και το ransomware να έχει κρυπτογραφήσει τα αρχεία μιας συσκευής – στόχου.
Κατά τη διάρκεια μιας
πρόσφατης έρευνας
για μια
απόπειρα ransomware επίθεσης
, οι
ερευνητές
ασφαλείας
της
Symantec
διαπίστωσαν ότι οι ransomware «
επιχειρήσεις
» χρησιμοποιούν το
VirtualBox
– μια νόμιμη μορφή open-source virtual machine software – για την εκτέλεση instances των Windows 7, προκειμένου να καταστήσουν ευκολότερη την εγκατάσταση του ransomware.
Διαβάστε επίσης:
Clop ransomware
: Η συμμορία επιστρέφει μετά τις
συλλήψεις
μελών της
Όπως επισήμανε η Symantec, το ransomware payload
“κρύβεται” μέσα σε μία VM
ενώ κρυπτογραφεί αρχεία στη
συσκευή
.
ομάδες
χρησιμοποιούν
εικονικές μηχανές
για να «καλύψουν» τις
επιθέσεις
τους
Ενώ μια εικονική μηχανή εκτελείται ξεχωριστά στο μηχάνημα στο οποίο φιλοξενείται, μπορεί να έχει πρόσβαση στα αρχεία και τους καταλόγους του κεντρικού
υπολογιστή
μέσω κοινόχρηστων φακέλων, τους οποίους οι
κυβερνοεγκληματίες
μπορούν να εκμεταλλευτούν για να επιτρέψουν στο payload που φιλοξενείται στην εικονική μηχανή
να κρυπτογραφήσει αρχεία στον
υπολογιστή
.
Ενώ
οι ερευνητές δεν μπόρεσαν να προσδιορίσουν πλήρως το ransomware
που εντοπίστηκε να λειτουργεί σε μια εικονική μηχανή, ο τρόπος που λειτουργούσε το malware παρείχε ισχυρές
ενδείξεις
ότι πίσω από αυτό βρίσκεται η συμμορία του Conti – μια διαβόητη μορφή ransomware που χρησιμοποιείται από
κυβερνοεγκληματίες
σε πολλές κακόβουλες
εκστρατείες
με
στόχους υψηλού προφίλ
, συμπεριλαμβανομένης της ransomware επίθεσης που έπληξε την εθνική υγειονομική
υπηρεσία
HSE της Ιρλανδίας.
Δείτε ακόμη:
Hackers συνδυάζουν ransomware και
DDoS
επιθέσεις
για να στοχεύσουν
θύματα
Ωστόσο, αυτή
δεν ήταν η μόνη δραστηριότητα που εντοπίστηκε
. Οι ερευνητές βρήκαν στοιχεία που δείχνουν ότι ένας κακόβουλος παράγοντας προσπάθησε να εκτελέσει το
Mount Locker
στον κεντρικό
υπολογιστή
. Οι ερευνητές εικάζουν ότι ο εισβολέας προσπάθησε να «τρέξει» το Conti μέσω της εικονικής μηχανής, αλλά, όταν αυτό δεν λειτούργησε, στράφηκε στη χρήση του Mount Locker.
ομάδες
χρησιμοποιούν
εικονικές μηχανές
για να «καλύψουν» τις
επιθέσεις
τους
Αυτή
δεν είναι η πρώτη φορά
που παρατηρήθηκε ransomware
ομάδες
να χρησιμοποιούν
εικονικές μηχανές
για την
ανάπτυξη
ransomware, αλλά οι ερευνητές προειδοποιούν ότι αυτό
θα μπορούσε να καταστήσει την
ανίχνευση
των επιθέσεων πολύ πιο δύσκολη
.
Πρόταση:
Ransomware: Οι περισσότερες
εταιρείες
δέχονται και δεύτερη
επίθεση
αν πληρώσουν λύτρα
Ενώ οι
κυβερνοεγκληματίες
θα μπορούσαν να στοχεύσουν
συσκευές
που έχουν ήδη virtual machine περιβάλλοντα, σε αυτήν την περίπτωση φαίνεται να έχουν κατεβάσει τα εργαλεία που τους επιτρέπουν να «τρέχουν». Ο Dick O’Brien,
διευθυντής
του Symantec Threat Hunter Team, επεσήμανε πως ένας
τρόπος αντιμετώπισης
αυτού είναι να παρακολουθείτε και να ελέγχετε ποιο software είναι εγκατεστημένο σε μηχανήματα, ώστε δυνητικά κακόβουλα, αλλά νόμιμα, εργαλεία να μη μπορούν να γίνουν download χωρίς έγκριση.
Πηγή πληροφοριών: zdnet.com
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.