Ragnar Locker, le rançongiciel déguisé en une sorte de machine virtuelle

Rappelons à toutes fins utiles que durant le mois d’avril dernier, l’entreprise portugaise oeuvrant dans le secteur de l’énergie, EDP, a été frappée par un programme de rançonnage.

La conséquence directe de cette cyberattaque a été le vol de plus de 10 To d’informations sensibles. Le logiciel malveillant utilisé pour accomplir cette tâche est dénommée « Ragnar Locker ». Ce programme de rançonnage possède une fonctionnalité bien particulière. Son utilisateur peut le déployer en le camouflant sous la forme d’une machine virtuelle.

Cet article va aussi vous intéresser : Rançongiciel : Snake, le nouvel ennemi des usines

Sophos, une entreprise spécialisée dans la cybersécurité a identifié 8 étapes d’analyses des premières causes permettant de relier une opération de cybermalveillance au programme Ragnar Locker. Le fournisseur de solutions de sécurité, décris comment ce programme des rançonnages arrive à se camoufler et passer inaperçu. Dans un billet de blog, Sophos nous signifie que : « Lors d’une attaque récemment détectée, le ransomware Ragnar Locker a été déployé dans une machine virtuelle Oracle VirtualBox Windows XP. La charge utile de l’attaque était un programme d’installation de 122 Mo avec une image virtuelle de 282 Mo à l’intérieur, le tout pour cacher un exécutable de ransomware de 49 Ko ». Cela fonctionne bel et bien vu que Energias de Portugal, le géant de l’énergie portugais a été victime de ce logiciel malveillant.  Les cybercriminels avaient alors exigé le paiement d’une rançon s’élevant à 11 millions de dollars, soit 1 580 bitcoins.

Avant cette attaque informatique d’ampleur non négligeable, les pirates informatiques qui utilisent Ragnar Locker, avait pour habitude d’utiliser de connexion passant par le Windows RDP. De la sorte, ils pouvaient compromettre la sécurité du réseau et s’introduire dans le système pour récolter des informations. Pour réussir une intrusion, ces derniers s’octroyaient des privilèges d’administrateurs, avec l’utilisation de certaines en commande et outils tels que GPO et Powershell :  « Dans l’attaque détectée, les acteurs de Ragnar Locker ont utilisé une tâche GPO pour exécuter Microsoft Installer (msiexec.exe), en passant des paramètres pour télécharger et installer silencieusement un package MSI de 122 Mo conçu et non signé à partir d’un serveur Web distant », indique la firme de sécurité informatique.

De façon plus détaillé, il faut noter que « le package malveillant est ainsi articulé autour d’une installation fonctionnelle d’un ancien hyperviseur Oracle VirtualBox (Sun xVM VirtualBox v3.0.4 datant du 5 août 2009) couplé à un fichier d’image disque virtuelle micro.vdi (une image d’une version expurgée de Windows XP SP3 appelée MicroXP v0.82 embarquant l’exécutable du ransomware Ragnar locker. » explique Dominique Filippone, journaliste. Une fois le packaging recopié dans le répertoire « VirtualAppliances des fichiers programmes x86, ce programme malveillant déploie un exécutable (va.exe), un fichier batch (install.bat) et quelques fichiers support. » Ajoute-il. De son côté le fournisseur de solutions Sophos note ceci : « Le programme d’installation MSI exécute va.exe, qui à son tour exécute le script de commandes install.bat. La première tâche du script consiste à enregistrer et à exécuter les extensions d’application VirtualBox VBoxC.dll et VBoxRT.dll nécessaires, ainsi que le pilote VirtualBox VboxDrv.sys: ».

Quand le logiciel est définitivement installé dans le système ou le réseau informatique ciblé, la stratégie utilisée par les cybercriminels va consister à désactiver de manière progressive certaines fonctionnalités de notification tel que Windows AutoPlay. Ensuite, procéder à une commande qui va effacer l’ensemble des contenus cachés du terminal ciblé de sorte à empêcher toute tentative de restauration des documents qui ne sont pas chiffré. En outre, le programme servira à recenser les disques durs implantés dans le système ou dans le terminal, tout temps mappant les lecteurs réseaux sur les terminaux physiques de sorte à les configurer, et faciliter leur accès depuis la machine virtuelle. « La machine virtuelle est configurée avec 256 Mo de RAM, 1 CPU, un seul fichier HDD de 299 Mo micro.vdi et une carte réseau Intel PRO / 1000 connectée au NAT », précisait Sophos. À partir de là, les cybercriminels peuvent procéder au chiffrement des fichiers, donc à la prise d’otages du système. « Étant donné que l’application de rançongiciel vrun.exe s’exécute à l’intérieur de la machine invitée virtuelle, son processus et ses comportements peuvent s’exécuter sans entrave, car ils sont hors de portée des logiciels de sécurité sur la machine hôte physique. Les données sur les disques et lecteurs accessibles sur la machine physique sont attaquées par le processus légitime VboxHeadless.exe, le logiciel de virtualisation VirtualBox », explique la société de cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage