Bei der neuen Angriffstaktik werden die Schutzvorrichtungen des Hypervisors VirtualBox ausgehebelt. Normalerweise ist der Host gegenüber seinen Gastsystemen abgeschottet, um Beschädigungen, beispielsweise durch Malware, zu verhindern. Bei den Schutzvorrichtungen, die Gastsysteme von ihrem Host trennen, geht man bisher davon aus, dass sich ein feindliches/infiziertes Gastsystem auf dem „sauberen“ Host befindet – was ich jetzt als Schwachstelle herausstellt. Bei der neuen Taktik haben die Angreifer sowohl auf den Gast als auch auf den Host-Zugriff. Die Angreifer schaffen also eine paradoxe Situation: Ein freundlicher Gast auf einem feindlichen Host. Damit können die Angreifer eine Entdeckung der Malware sehr lange verhindern und sich im Netz ausbreiten. Das Ziel: Mit zusätzlichen VirtualBox-Add-Ons soll der direkte Zugriff vom Host auf Dateien, lokale Festplatten, Wechseldatenträger und jedes zugeordnete Netzlaufwerk hergestellt und damit auch die Möglichkeit der Verschlüsselung geschaffen werden. Auch die Verschlüsselung erfolgt mit eigenen Bordmitteln von VirtualBox, dem integrierten VboxHeadless.exe-Prozess.
Details über die neue Angriffsmethode beschreibt Mark Loman’s in seinem Artikel https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/