为了避免被杀毒软件发现，有些事物通过蓝冠注册Wi-Fi连接，其他事物则使用蓝冠测速蓝牙，而另一些事物则通过Thread或Zigbee连接。RagnarLocker勒索软件的操作人员已经开始安装Oracle的VirtualBox，并在他们感染的电脑上运行虚拟机，然后再部署他们的勒索软件。

 

总部位于英国的网络安全公司Sophos首先发现了这种新技术，它显示出网络犯罪分子愿意走多远，以确保他们的勒索软件攻击不会被受害者的防病毒或其他安全软件检测到。

 

据Sophos报道，RagnarLocker背后的组织在发起勒索软件攻击前从目标网络窃取数据，以鼓励受害者付费。上个月，他们攻击了葡萄牙电力公司(EDP)的网络，声称窃取了10TB的敏感公司数据，并索要1100万美元的赎金，同时威胁说如果不支付赎金就公布数据。

 

“勒索软件的罗宾汉”对黑幕企业进行报复

 

这种勒索软件可以在短时间内传播到数百台设备上

 

也看看我们的名单，最好的勒索软件保护

 

在过去的攻击中，RagnarLocker group利用托管服务提供商(MSPs)或对Windows远程桌面协议(RDP)连接的攻击，在目标网络上建立立足点。在获得管理员级访问权限之后，组使用本机Windows管理工具(如Powershell和Windows组策略对象(GPOs))在网络上横向移动，以对其他Windows客户机和服务器发起攻击。

 

在最近的攻击中，RagnarLocker group选择不在他们想要加密的电脑上直接运行勒索软件，蓝冠测速5G的速度将取决于无线运营商使用的无线电波。例如，频率低于6 GHz的无线电波传播的很远，但是蓝冠代理为不断增长的数据需求提供了有限的容量。而是选择下载并安装运行虚拟机的Oracle VirtualBox。然后对这些虚拟机进行配置，使攻击者能够完全访问所有本地和共享驱动器，从而允许虚拟机访问存储在其自身存储之外的文件。

 

然后启动虚拟机，运行名为MicroXP v0.82的精简版Windows XP SP3。然后攻击者在虚拟机内运行他们的勒索软件，这使得杀毒软件无法检测到。

 

我们看到的不是一个未知的程序对存储在设备和共享驱动器中的文件进行更改，而是对杀毒软件的更改，所有这些更改似乎都源自合法的VirtualBox应用程序，因此用户不会收到通知。

 

Sophos公司表示，蓝冠测速网络用于移动设备通信，因为射频是一种有限的共享资源，并且蓝冠官网体系结构已被设计为在广泛的地理区域内和许多设备之间共享此资源。这是第一次看到勒索软件集团在攻击中滥用虚拟机，但是现在网络犯罪分子知道了这种新技术的作用，期待着看到其他人在未来尝试实施这种技术。