มัลแวร์เรียกค่าไถ่ Ragnar Locker แอบติดตั้ง virtual machine ลงบนเครื่องของเหยื่อเพื่อหลบระบบตรวจจับ

ทีมวิจัยจาก Sophos Labs ได้รายงานเทคนิคที่อาชญากรใช้ในการหลบเลี่ยงระบบความมั่นคงปลอดภัยเพื่อรวบรวมและขโมยข้อมูลจากระบบของเป้าหมายก่อนที่จะติดตั้งมัลแวร์เรียกค่าไถ่ Ragnar Locker โดยเทคนิคที่ผู้โจมตีใช้นั้นคือการติดตั้ง virtual machine ที่มีเครื่องมือเจาะระบบเตรียมพร้อมไว้อยู่แล้ว จากนั้นเรียกใช้งานเครื่องมือดังกล่าวจากภายใน virtual machine แทนที่จะเป็นการดาวน์โหลดเครื่องมือโจมตีมาติดตั้งและเรียกใช้งานจากเครื่องคอมพิวเตอร์ของเหยื่อโดยตรง ซึ่งเทคนิคลักษณะนี้ทำให้ระบบตรวจจับการโจมตีนั้นป้องกันได้ยาก เนื่องจากแอปพลิเคชันและพฤติกรรมการทำงานนั้นเกิดขึ้นภายใน virtual machine ไม่ใช้บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ

จากรายงานของ Sophos Labs เมื่อช่วงเดือนเมษายน 2563 ผู้โจมตีได้ใช้เทคนิคนี้ดาวน์โหลดไฟล์ virtual disk image ของ Windows XP มารันบนเครื่องคอมพิวเตอร์ของเหยื่อผ่านโปรแกรม VirtualBox โดยนอกจากการติดตั้งมัลแวร์ Ragnar Locker แล้วยังได้ขโมยข้อมูลที่เป็นความลับออกไปกว่า 10 TB แล้วเรียกค่าไถ่กว่า 11 ล้านดอลลาร์สหรัฐฯ เพื่อแลกกับการไม่นำข้อมูลเหล่านั้นออกไปเผยแพร่ต่อ

ทั้งนี้ การหลบเลี่ยงระบบตรวจจับการโจมตีโดยอาศัย virtual machine มาช่วยอำพรางนั้นไม่ใช่เทคนิคใหม่ เนื่องจากมีรายงานการโจมตีโดยอาศัยเทคนิคลักษณะนี้มาก่อนหน้านี้แล้ว ผู้ดูแลระบบอาจพิจารณาปรับปรุงระบบความมั่นคงปลอดภัยโดยตรวจสอบการใช้งาน virtual machine (เช่น การรัน process หรือการติดตั้ง hardware ของ virtual machine ในระบบ) รวมถึงพิจารณาพฤติกรรมผิดปกติทางเครือข่ายร่วมด้วย

ที่มา: Sophos