Ragnar Locker Ransomware ใช้ VM เข้ารหัสไฟล์ เลี่ยงการตรวจจับ

NT cyfence

ในช่วงปลายปี 2019 ที่ผ่านมา ภัยคุกคามประเภท Ramsomware ที่มีชื่อว่า Ragnar Locker ซึ่งเป็น Ramsomware ที่แฮกเกอร์สร้างเทคนิคใหม่ขึ้นมา เพื่อหลบเลี่ยงการตรวจจับจาก security programs Ragnar Locker โดยเฉพาะและถูกใช้โจมตีในการเข้ารหัสไฟล์เหยื่อจำนวนมากขยายเป็นวงกว้างตั้งแต่ช่วงปลายปี 2019 จนถึงปัจจุบัน โดยหลาย ๆ องค์กรพยายามป้องกันระบบเครือข่ายตัวเองด้วยการเพิ่มเทคนิคใหม่ ๆ ขึ้นมาเพื่อหยุด Ragnar Locker Ransomware นี้

หลักการทำงานโดยทั่วไปของ ransomware คือจะพยายามหยุดการทำงานของโปรแกรม security แล้วจึงเข้ารหัสไฟล์ (encrypting) แต่ Ragnar Locker กลับใช้คอมพิวเตอร์เสมือน (virtual machines) ในการหลบเลี่ยงและเข้ารหัสไฟล์ (encrypting) กล่าวคือ แฮกเกอร์จะเริ่มการสร้างโฟลเดอร์ที่มีเครื่องมือ VirtualBox เป็นดิสก์เสมือนขนาดเล็กของ Windows XP หรือ Windows XP SP3 OS (MicroXP v0.82) ชื่อว่า micro.vdi ภายในเครื่องมือจะมี image สำหรับทำ Ragnar Locker ransomware และยังมี Script ต่าง ๆ ที่แฮกเกอร์สามารถใช้ VirtualBox เพื่ออนุญาตเครื่อง Host แชร์แฟ้ม (Folder) แชร์ข้อมูลต่าง ๆ หรือ แชร์ไดร์ฟ (drives) เสมือนเป็นการแบ่งปันไฟล์บนเครือข่าย (network share) ไปยัง virtual machine และเมื่อแฮกเกอร์ติดตั้ง VirtualBox แล้ว เครื่องมือนี้ก็จะเริ่มทำงานทันที ซึ่งเมื่อ script install.bat ถูกเรียกใช้งานจะทำการสแกน local drives จากนั้นจะ mapped network เพื่อสร้าง configuration file โดยแชร์ ให้ virtual machine เข้าถึงได้ เมื่อ script install.bat ถูกเรียกใช้งาน จะสแกน local drives ทำ mapped network จาก host และสร้าง configuration file เพื่อทำการ share ให้ virtual machine เข้าถึงได้ จากนั้น Window XP virtual machine จะให้ Ragnar Locker ransomware executable ที่อยู่ภายใน C:\ บน virtual machine เริ่มทำงานและเข้ารหัสไฟล์ (File encryption) โดยไม่ถูกโปรแกรม Security ตรวจจับจะมีเพียง Windows 10’s Controlled Folder Access เท่านั้น ที่เป็นฟังก์ชัน anti-ransomware ที่สามารถป้องกันการเข้ารหัสไฟล์ (File encryption) ได้ และเมื่อเข้ารหัสไฟล์ทั้งหมดแล้วจะมีข้อความทิ้งไว้บนเครื่องที่เป็น Host ว่าไฟล์ทั้งหมดถูกเข้ารหัสแล้วและบอกรายละเอียดเกี่ยวกับการจ่ายเงิน

นับเป็น Ramsomware ใหม่ที่ควรระมัดระวัง เพราะหากสามารถใช้ virtual machines ได้ก็จะทำให้ซอฟต์แวร์ด้านความปลอดภัยของ Window XP ไม่สามารถตรวจจับมัลแวร์ จึงทำให้ Ragnar Locker Ramsomware เข้าถึงระบบปฏิบัติการและเข้ารหัสไฟล์เพื่อเรียกค่าไถ่เหยื่อได้นั่นเอง

ที่มา: https://securityaffairs.co/wordpress/103743/breaking-news/ragnar-ransomware-uses-vm.html

บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบมัลแวร์ Reaper บน macOS ใช้โดเมนปลอม Microsoft หลอกขโมยรหัสผ่าน และคริปโต
NT cyfence

หน่วยวิจัย SentinelLABS จากบริษัทความปลอดภัยไซเบอร์ SentinelOne ได้เปิดเผยรายงานการพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ macOS ที่มีชื่อว่า Reaper ซึ่งเป็นสายพันธุ์ล่าสุดของมัลแวร์ขโมยข้อมูล (Infostealer)...

อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบช่องโหว่ร้ายแรงใน Plugin WordPress Burst Statistics หากใช้งานต้องอัปเดตทันที
cyfence
พบแฮกเกอร์โจมตีช่องโหว่ร้ายแรงในปลั๊กอิน WordPress “Burst Statistics” ที่ใช้บนกว่า 200,000 เว็บไซต์ ช่องโหว่นี้เปิดทางให้ผู้โจมตีข้ามการยืนยันตัวตนและสวมสิทธิ์แอดมินได้ แม้ใส่รหัสผ่านผิด เสี่ยงต่อการติดมัลแวร์และถูกยึดเว็บไซต์...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบ Ransomware VECT 2.0 ทำลายไฟล์ถาวร จ่ายค่าไถ่ก็กู้ข้อมูลไม่ได้
NT cyfence
พบแรนซัมแวร์ “VECT 2.0” ที่ไม่เพียงเข้ารหัสไฟล์ แต่ยังทำลายข้อมูลถาวร โดยเฉพาะข้อมูลขนาดใหญ่ แม้จะมีการจ่ายค่าไถ่แล้วก็ตาม
อ่านต่อ >
Scroll to Top