El nuevo ransomware utiliza una máquina virtual para lanzar ataques

Articulos tematica Microsoft

Los ciberdelincuentes ejecutan cada vez más cargas útiles maliciosas a través de máquinas virtuales, según Symantec Threat Hunter Team .

Help Net Security investigó un intento de ataque de ransomware que se ejecutó a través de una máquina virtual VirtualBox creada en algunas computadoras comprometidas. A diferencia de los ataques documentados de RagnarLocker que utilizan máquinas virtuales con Windows XP, la nueva amenaza parece estar ejecutando Windows 7.

Además, según Dick O'Brien del Symantec Threat Hunter Team, la máquina virtual se implementó a través de un ejecutable malicioso que estaba preinstalado durante las fases de reconocimiento y movimiento lateral de las operaciones.

Hasta ahora, los investigadores no pudieron determinar si la carga útil en la VM era Mount Locker o Conti ransomware. El último se detectó en el punto final y necesita una combinación de nombre de usuario y contraseña, ambos específicos de la actividad anterior de Conti.

Se supone que el malware residía en el disco duro de la máquina virtual y se puede iniciar automáticamente una vez que el sistema operativo se haya iniciado por completo. El ejecutable del instalador verificó si el host era un controlador de Active Directory, mientras que en otros casos empleó un diseño de teclado ruso para identificar y finalizar la operación si lo hiciera.

El equipo de Symantec Threat Hunter explicó: “Una posible explicación es que el atacante es un operador afiliado con acceso tanto a Conti como a Mount Locker. Es posible que hayan intentado ejecutar una carga útil (ya sea Conti o Mount Locker) en una máquina virtual y, cuando eso no funcionó, optaron por ejecutar Mount Locker en la computadora host ”.

Prevención de máquinas virtuales no autorizadas

Debe saber que a la mayoría de los atacantes y operadores de ransomware les gusta usar herramientas legales fuera de propósito para mejorar sus actividades sin ser detectados durante el mayor tiempo posible.

Las organizaciones pueden evitar que se implementen máquinas virtuales no autorizadas mediante el uso de inventario de software y aplicar restricciones al software con licencia para que se puedan verificar antes de implementarlo. Otra forma de proteger el entorno virtual sería implementar tecnologías de seguridad especializadas en este nicho u optar por versiones empresariales que impidan por completo la creación de nuevas sesiones de VM no autorizadas

Fecha actualización el 2021-06-25. Fecha publicación el 2021-06-25. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: softpedia