Do wniosku takiego doszli specjaliści do spraw bezpieczeństwa pracujący w firmie Symantec. Odkryli oni, że do przeprowadzania takich ataków hakerzy wykorzystują np. powszechnie stosowane, bazujące na otwarty kodzie maszyny wirtualne VirtualBox.

Aby uniemożliwić wykrycie takiego ataku, hakerzy zagnieżdżają kod szyfrujący pliki ofiary w wirtualnej maszynie. Dlatego wiele systemów stojących na straży bezpieczeństwa systemu IT nie sprawdza się i nie wykrywa takiego kodu, i w efekcie atak kończy się sukcesem.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• Co trzecia firma w Polsce z cyberincydentem

Chociaż maszyna wirtualna uruchamiana na hostującym ją komputerze jest oddzielnym bytem, to ma jednak dostęp do plików i katalogów takiego komputera za pośrednictwem współdzielonych folderów. Fakt ten wykorzystują cyberprzestępcy, szyfrując wtedy pliki i całe foldery wchodzące w skład hosta, a następnie żądają od właściciela komputera okupu.

Informatycy nie byli co prawda w stanie w zidentyfikować szczegółowo kodu oprogramowania ransomware zagnieżdżonego w maszynie wirtualnej, ale sposób działania takiego ataku wskazuje na to, że jest to znany malware noszący nazwę Conti. Ten sam, jakiego hakerzy użyli ostatnio do zaatakowania irlandzkich placówek medycznych.

Nie była to zresztą jedyna aktywność hakerska tego typu, jaką odnotowali informatycy. Znaleźli również dowody na to, że hakerzy próbowali zagnieżdżać na maszynach wirtualnych inny znany ransomware noszący nazwę Mount Locker. Dlatego ostrzegają, że ataków tego typu może przybywać i mogą być one bardzo trudne do wykrycia.