Ragnar Locker Ransomware ใช้ VM เข้ารหัสไฟล์ เลี่ยงการตรวจจับ

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ในช่วงปลายปี 2019 ที่ผ่านมา ภัยคุกคามประเภท Ramsomware ที่มีชื่อว่า Ragnar Locker ซึ่งเป็น Ramsomware ที่แฮกเกอร์สร้างเทคนิคใหม่ขึ้นมา เพื่อหลบเลี่ยงการตรวจจับจาก security programs Ragnar Locker โดยเฉพาะและถูกใช้โจมตีในการเข้ารหัสไฟล์เหยื่อจำนวนมากขยายเป็นวงกว้างตั้งแต่ช่วงปลายปี 2019 จนถึงปัจจุบัน โดยหลาย ๆ องค์กรพยายามป้องกันระบบเครือข่ายตัวเองด้วยการเพิ่มเทคนิคใหม่ ๆ ขึ้นมาเพื่อหยุด Ragnar Locker Ransomware นี้

หลักการทำงานโดยทั่วไปของ ransomware คือจะพยายามหยุดการทำงานของโปรแกรม security แล้วจึงเข้ารหัสไฟล์ (encrypting) แต่ Ragnar Locker กลับใช้คอมพิวเตอร์เสมือน (virtual machines) ในการหลบเลี่ยงและเข้ารหัสไฟล์ (encrypting) กล่าวคือ แฮกเกอร์จะเริ่มการสร้างโฟลเดอร์ที่มีเครื่องมือ VirtualBox เป็นดิสก์เสมือนขนาดเล็กของ Windows XP หรือ Windows XP SP3 OS (MicroXP v0.82) ชื่อว่า micro.vdi ภายในเครื่องมือจะมี image สำหรับทำ Ragnar Locker ransomware และยังมี Script ต่าง ๆ ที่แฮกเกอร์สามารถใช้ VirtualBox เพื่ออนุญาตเครื่อง Host แชร์แฟ้ม (Folder) แชร์ข้อมูลต่าง ๆ หรือ แชร์ไดร์ฟ (drives) เสมือนเป็นการแบ่งปันไฟล์บนเครือข่าย (network share) ไปยัง virtual machine และเมื่อแฮกเกอร์ติดตั้ง VirtualBox แล้ว เครื่องมือนี้ก็จะเริ่มทำงานทันที ซึ่งเมื่อ script install.bat ถูกเรียกใช้งานจะทำการสแกน local drives จากนั้นจะ mapped network เพื่อสร้าง configuration file โดยแชร์ ให้ virtual machine เข้าถึงได้ เมื่อ script install.bat ถูกเรียกใช้งาน จะสแกน local drives ทำ mapped network จาก host และสร้าง configuration file เพื่อทำการ share ให้ virtual machine เข้าถึงได้ จากนั้น Window XP virtual machine จะให้ Ragnar Locker ransomware executable ที่อยู่ภายใน C:\ บน virtual machine เริ่มทำงานและเข้ารหัสไฟล์ (File encryption) โดยไม่ถูกโปรแกรม Security ตรวจจับจะมีเพียง Windows 10’s Controlled Folder Access เท่านั้น ที่เป็นฟังก์ชัน anti-ransomware ที่สามารถป้องกันการเข้ารหัสไฟล์ (File encryption) ได้ และเมื่อเข้ารหัสไฟล์ทั้งหมดแล้วจะมีข้อความทิ้งไว้บนเครื่องที่เป็น Host ว่าไฟล์ทั้งหมดถูกเข้ารหัสแล้วและบอกรายละเอียดเกี่ยวกับการจ่ายเงิน

นับเป็น Ramsomware ใหม่ที่ควรระมัดระวัง เพราะหากสามารถใช้ virtual machines ได้ก็จะทำให้ซอฟต์แวร์ด้านความปลอดภัยของ Window XP ไม่สามารถตรวจจับมัลแวร์ จึงทำให้ Ragnar Locker Ramsomware เข้าถึงระบบปฏิบัติการและเข้ารหัสไฟล์เพื่อเรียกค่าไถ่เหยื่อได้นั่นเอง

ที่มา: https://securityaffairs.co/wordpress/103743/breaking-news/ragnar-ransomware-uses-vm.html

บทความที่เกี่ยวข้อง