Ransmoware : Les cyberattaquants utilisent maintenant des machines virtuelles
Les cybercriminels utilisent de plus en plus des machines virtuelles (VM) pour compromettre les réseaux avec des ransomwares.
En utilisant des machines virtuelles dans le cadre du processus, les attaquants de ransomware sont en mesure de mener leur activité avec une subtilité supplémentaire, car l’exécution de la charge utile dans un environnement virtuel réduit les chances que l’activité soit découverte – jusqu’à ce qu’il soit trop tard et que le ransomware ait chiffré les fichiers sur la machine hôte.
Lors d’une enquête récente sur une tentative d’attaque par ransomware, les chercheurs en cybersécurité de Symantec ont découvert que les opérations de ransomware avaient utilisé VirtualBox – une forme légitime de logiciel de machine virtuelle open source – pour exécuter des instances de Windows 7 afin de faciliter l’installation du ransomware.
Une technique fugace
« La motivation derrière cette tactique est la furtivité. Afin d’éviter d’éveiller les soupçons ou de déclencher les logiciels antivirus, la charge utile du ransomware se “cache” dans une VM tout en chiffrant les fichiers de l’ordinateur hôte », explique Symantec.
Bien qu’une machine virtuelle soit exécutée séparément de la machine sur laquelle elle est hébergée, elle peut avoir accès aux fichiers et répertoires de la machine hôte via des dossiers partagés, que les cybercriminels peuvent exploiter pour permettre à la charge utile hébergée dans la machine virtuelle de chiffrer les fichiers sur l’ordinateur lui-même.
Bien que les chercheurs n’aient pas été en mesure d’identifier complètement le ransomware découvert dans la machine virtuelle, des indices sur le fonctionnement du malware ont fourni de fortes indications qu’il s’agissait de Conti – une forme notoire de ransomware utilisée par les cybercriminels dans un certain nombre de campagnes très médiatisées, notamment la cyberattaque qui a touché les services de santé irlandais.
Cependant, ce n’est pas la seule activité qui a été détectée – les chercheurs ont trouvé des preuves qu’un attaquant avait tenté d’exécuter le ransomware Mount Locker sur l’ordinateur hôte. Les chercheurs suggèrent que l’attaquant a tenté d’exécuter Conti par le biais de la machine virtuelle mais qu’après avoir échoué, il a préféré utiliser Mount Locker.
Des attaques récurrentes
Ce n’est pas la première fois qu’on repère l’utilisation de machines virtuelles pour déployer des ransomwares. Mais les chercheurs préviennent que cela pourrait rendre les attaques beaucoup plus difficiles à détecter.
« Les groupes [de cyberattaquants] imitent souvent les tactiques des autres s’ils pensent qu’ils ont réussi. Ils penseront peut-être que certaines solutions de sécurité ne peuvent pas détecter de manière fiable et cohérente l’échantillon de ransomwares s’exécutant à l’intérieur d’une machine virtuelle », avertit Dick O’Brien, directeur de l’équipe de recherche de menaces chez Symantec.
Alors que les cybercriminels pourraient cibler des appareils qui disposent déjà d’environnements de machines virtuelles, dans ce cas, il semble qu’ils aient activement téléchargé les outils qui leur permettent de fonctionner. Une façon de contrer ce phénomène est de surveiller et de contrôler les logiciels installés sur les machines, afin que des outils potentiellement malveillants, mais légitimes, ne puissent être téléchargés sans autorisation.
« Utilisez des outils d’inventaire et de restriction des logiciels qui permettent de contrôler quels logiciels sous licence peuvent être installés. En outre, les organisations qui utilisent déjà un logiciel de VM peuvent utiliser des versions d’entreprise du logiciel qui limitent la création de nouvelles VM non autorisées », propose Dick O’Brien.
Source : ZDNet.com
