Ragnar Locker, apparu fin 2019, est un programme malveillant de type rançongiciel qui a pour objectif de chiffrer les données de sa victime.
Il dispose d’une spécificité de déploiement lui permettant de s’installer en tant que machine virtuelle sur un système cible.
Les cybercriminels utilisent une tâche Windows GPO (Group Policy Object/Objet de Stratégie de Groupe) pour exécuter Microsoft Installer, qui a téléchargé un MSI contenant un ancien hyperviseur d’Oracle VirtualBox (Sun xVM VirtualBox v3.0.4 datant de 2009) et un fichier d’image disque virtuelle micro.vdi (une image d’une version expurgée de Windows XP SP3 appelée MicroXP v0.82 embarquant l’exécutable du ransomware Ragnar Locker.
Le programme malveillant déploie un exécutable “va.exe” et un fichier batch “install.bat”.
L’installateur Microsoft MSI commence par exécuter “va.exe”, qui à son tour exécute le script “install.bat”. Le script consiste à enregistrer et à exécuter les extensions d’application VirtualBox VBoxC.dll et VBoxRT.dll nécessaires, ainsi que le pilote VirtualBox VboxDrv.sys:
Une fois le script exécuté, les attaquants désactivent la fonctionnalité de notification Windows AutoPlay, ils suppriment les sauvegardes Windows de type “Shadow copy” afin d’empêcher la restauration des fichiers dans leur version précédente non chiffrée, recenser tous les disques locaux et mapper des lecteurs réseaux sur la machine physique afin de les paramétrer pour être accédés depuis la machine virtuelle malveillante.En Septembre 2020 l’entreprise Française d’affrètement maritime CMA-CGM a été victime de ce ransomware.
Pour plus d’informations :
- https://ics-cert.kaspersky.com/news/2020/04/17/new-ransomware/
- https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/
[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.