Gisslanprogrammet Ragnar Locker skapades så sent som i december 2019, eller det var i vart fall då som den för första gången dök upp på it-säkerhetsföretagens karta. Ragnar Locker är mest känt för att ha drabbat det portugisiska energibolaget Energias de Portugal (EDP), där angriparna krävde 10,9 miljoner dollar i lösensumma efter påståendet att de stulit 10 terabyte data från företaget.

Ragnar Lockers korta historia visar också utvecklarnas fokus och skicklighet i att undvika upptäckt, ofta med hjälp av innovativa metoder. It-säkerhetsanalytiker på Sophos har nu upptäckt en metod för att undvika upptäckt genom att första skapa en virtuell maskin på offrets dator innan Ragnar Locker tar itu med att stjäla data och kryptera värddatorns filer.

Skapar virtuell maskin

Ragnar Locker skapar en virtuell maskin med hjälp av VirtualBox genom att först skapa en katalog med verktyg, inklusive VirtualBox, en minimal version av en virtuell disk med Windows XP som heter micro.vdi och ett antal binärer och script som preparerar systemet, skriver Bleeping Computer.

VirtualBox har en egenskap som medger att värdmaskinens operativsystem delar systemresurser med den virtuella gästmaskinen, bland annat kataloger och lagringsenheter, som nätverksenheter. Detta gör att den virtuella maskinen kan montera dessa resurser och få full tillgång till dem.

Modus operandi i detta fall är ganska innovativt. Varken VirtualBox eller Windows XP ses som skadliga applikationer av säkerhetsmjukvara, och ignorerar att XP-maskinen skriver data till värdmaskinens kataloger. Det som behövs för att motverka denna metod är säkerhetsmjukvara som övervakar beteenden, som till exempel mängder av ovanliga skrivoperationer.

Läs också:
Salt gör datacenter osäkra – allvarliga buggar hittades av svenska konsulter
Därför är svenska företag hackarnas favorit