Malwarebouwers gebruiken steeds vaker virtuele machines om ransomware te verstoppen

7 reacties

Beveiligingsonderzoekers zien steeds vaker dat malafide hackers hun malware verstoppen door virtuele machines te gebruiken. Op deze manier wordt de malafide software niet gedetecteerd door malwarescanners.

De eerste keer dat deze truc werd ontdekt was in mei 2020. Onderzoekers zagen dat de Ragnar Locker groep op deze manier hun ransomware verstopte. Later is deze zelfde truc ook ontdekt bij de Maze ransomware subgroep en recentelijk is gebleken dat Conti en MountLocker op dezelfde manier werken.

Direct na de besmetting wordt er een virtuele machine aangemaakt, waarin de rest van de malware wordt geïnstalleerd. Vanuit de virtuele machine wordt alle andere software op de besmette host versteuteld. Na de versleuteling wordt de vm verwijderd. Aangezien de gemiddelde malwarescanner niet de inhoud van vm-images kan scannen, blijft de malware onopgemerkt. 

Symantec heeft inmiddels aan verschillende bedrijven laten weten dat er tegenwoordig detectieregels voor het installeren van virtuele machines moeten worden toegevoegd.


Een ransomwaremelding van Maze

Bronnen: Symantec, Sophos

« Vorig bericht Volgend bericht »
0
*