Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 1007570

Sophos Technology GmbH Gustav-Stresemann-Ring 1 65189 Wiesbaden, Deutschland http://www.sophos.de
Ansprechpartner:in Herr Thilo Christ +49 8081 954617

Neue Ransomware-Angriffsmethode: Gefahr aus dem Inneren einer virtuellen Maschine

(PresseBox) (Wiesbaden, )
Die SophosLabs berichten über eine neue Angriffsmethode, mit der Cyberkriminelle perfide versuchen, Verteidigungsmechanismen auf eine neue Art und Weise auszuhebeln. Damit die nur große 49 kB Ransomware Ragnar Locker unbehelligt ihren Dienst verrichten kann, wird diese in einer virtuellen Umgebung von Windows XP auf Oracle VirtualBox versteckt. Dabei handelt es sich um ein 122 MB großes Installationsprogramm mit einem 282 MB großen virtuellen Image im Inneren. Mit dieser neuen Methode versucht die Ragnar-Locker-Bande einer Entdeckung durch Schutzmechanismen zu entgehen, indem sie mit der Virtualisierungssoftware als Träger der Malware bereits innerhalb des Netzwerks eines Opfers operiert. In Fachkreisen wird das Agieren einer Malware aus dem Inneren einer IT-Infrastruktur auch als die "living off the land"-Methode bezeichnet.

Bei der neuen Angriffstaktik werden die Schutzvorrichtungen des Hypervisors VirtualBox ausgehebelt. Normalerweise ist der Host gegenüber seinen Gastsystemen abgeschottet, um Beschädigungen, beispielsweise durch Malware, zu verhindern. Bei den Schutzvorrichtungen, die Gastsysteme von ihrem Host trennen, geht man bisher davon aus, dass sich ein feindliches/infiziertes Gastsystem auf dem „sauberen“ Host befindet – was ich jetzt als Schwachstelle herausstellt. Bei der neuen Taktik haben die Angreifer sowohl auf den Gast als auch auf den Host-Zugriff. Die Angreifer schaffen also eine paradoxe Situation: Ein freundlicher Gast auf einem feindlichen Host. Damit können die Angreifer eine Entdeckung der Malware sehr lange verhindern und sich im Netz ausbreiten. Das Ziel: Mit zusätzlichen VirtualBox-Add-Ons soll der direkte Zugriff vom Host auf Dateien, lokale Festplatten, Wechseldatenträger und jedes zugeordnete Netzlaufwerk hergestellt und damit auch die Möglichkeit der Verschlüsselung geschaffen werden. Auch die Verschlüsselung erfolgt mit eigenen Bordmitteln von VirtualBox, dem integrierten VboxHeadless.exe-Prozess.

Details über die neue Angriffsmethode beschreibt Mark Loman’s in seinem Artikel https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/
Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.