Hace solo unas semanas hablamos del ataque llevado a cabo con Ragnar Locker, y que había puesto entre la espada y la pared a la eléctrica portuguesa EDP, un patógeno que, pese a ser bastante reciente (fue identificado en diciembre del pasado 2019), ya ha golpeado con fuerza y ha logrado enorme popularidad a partir del ataque a EDP. Y según ha publicado hoy Sophos, lo peor puede estar por llegar, dado que los operadores de este ransomware han dado un paso enormemente creativo (es un mérito que hay que reconocer), y que complica la detección de sus actividades.
El paso evolutivo dado por los responsables de Ragnar Locker, y que según los técnicos de Sophos no había sido visto hasta ahora, es ocultar todas las acciones llevadas a cabo por el patógeno en el sistema local (que también pueden afectar a unidades en red), empleando para tal fin una máquina virtual preconfigurada, y que será descargada e instalada en el sistema cuya seguridad se ha visto comprometida.
En concreto, lo que Ragnar Locker descargará en el sistema es una versión antigua (de 2009) del hypervisor de VirtualBox, junto con algunos elementos adicionales necesarios para hacer que funcione correctamente. Una vez instalado, crea una máquina virtual con 256 megabytes de memoria RAM, una CPU, una unidad de disco virtual de 299 megas HDD y un adaptador de red virtual Intel PRO/1000 configurado con acceso NAT. Además, se configurará para poder acceder a todas las unidades de almacenamiento, tanto internas como externas y de red, a las que tenga acceso el sistema.
Para la máquina virtual, los creadores de Ragnar Locker han optado por una versión increíblemente reducida de Windows XP SP3 que, claro, incluye el binario responsable de la extracción y el cifrado de todos los datos a los que tenga alcance desde ese sistema. ¿Y por qué actúa así? Tan sencillo que sorprende: el antivirus local no es capaz de detectar los procesos que se están ejecutando en la máquina virtual.
En su lugar, es decir, en vez de detectar el binario de Ragnar Locker, lo que se encontrará es un proceso supuestamente legítimo, ya que VirtualBox es una aplicación confiable, realizando cambios en múltiples archivos, algo que per se no debería ser considerado sospechoso. Así, el patógeno podrá actuar con total impunidad todo el tiempo que necesite. Barra libre de tiempo para sembrar el caos. Mentiría si negara que me suscita admiración el ingenio mostrado por los responsables de este malware, pero sería un error no reconocer que esta evolución de Ragnar Locker es una singular muestra de talento. Talento, eso sí, empleado en el peor de los usos.
Esta amenaza es una muestra más de que las políticas de lista blanca son un monumental error. Una aplicación legítima, explotada de determinadas maneras, puede ser empleada con fines ilegítimos. De nada sirve controlar el 100% de los patógenos si luego resulta que el enemigo está dentro y confiamos en él. Solo una supervisión constante del comportamiento y las acciones de todo tipo de usuarios y entidades (UEBA), bajo un paradigma zero trust y sin listas blancas nos puede proteger de estas amenazas antes de que sean detectadas.
La entrada Ragnar Locker, ahora «escondido» en máquinas virtuales es original de MuySeguridad. Seguridad informática.