# Ragnar Locker > Tipo: **malware (ransomware)** - Big Game Hunting - S0481 - [MITRE ATT&CK](https://attack.mitre.org/software/S0481) > [!danger] Execução dentro de VM - Técnica de evasão pioneira > O Ragnar Locker inovou ao executar o payload de 49 KB dentro de uma maquina virtual Oracle VirtualBox de 282 MB com Windows XP. Para o sistema operacional hospedeiro, a criptografia parece ser executada pelo processo legitimo `VBoxHeadless.exe` - invisivel para a maioria das soluções AV/EDR tradicionais. Europol e FBI desmantelaram parcialmente o grupo em outubro de 2023. ## Visão Geral [[s0481-ragnar-locker|Ragnar Locker]] e um ransomware ativo desde pelo menos dezembro de 2019, operado por um grupo criminoso que combina extorsao financeira com ameaças de vazamento de dados. O grupo se caracteriza por ataques altamente manuais e direcionados contra grandes corporacoes, com resgates que chegaram a US$11 milhões (ataque a Energias de Portugal - EDP, em abril de 2020). Ao contrario de muitos grupos de ransomware que operam no modelo RaaS com múltiplos afiliados, o Ragnar Locker historicamente operou como grupo fechado sem programa de afiliados. O grupo utilizou o [[g0061-fin8|FIN8]] como parceiro em algumas campanhas, e anunciou parceria pública com o [[s0449-maze|Maze]] em junho de 2020 - período em que o payload implantado via VM do Ragnar Locker era, na verdade, o ransomware [[s0449-maze|Maze]]. Uma politica explicita e documentada do grupo era triplicar o valor do resgaté se a vitima contatasse autoridades policiais - tática de intimidacao que impediu muitos ataques de serem reportados. Após anos de operação afetando infraestrutura critica incluindo setor de energia, manufatura e saúde, a Europol prendeu o suposto desenvolvedor principal na Franca em outubro de 2023. **Plataformas:** Windows ## Como Funciona O acesso inicial e obtido via comprometimento de RDP com brute force ou credenciais roubadas, ou exploração de vulnerabilidades em servicos expostos. Para escalonamento de privilegios, o grupo explorou a CVE-2017-0213 no Windows COM Aggregaté Marshaler para execução de código arbitrario com privilegios elevados. **Técnica de evasão via VM (assinatura do Ragnar Locker):** O grupo usa uma GPO (Group Policy Object) para executar o MSI Installer que baixa e instala silenciosamente um pacote MSI de ~122 MB. O pacote contem: uma copia do Oracle VirtualBox (versao antiga Sun xVM 3.0.4), uma imagem VDI (micro.vdi) com Windows XP SP3 minimalista, e o executavel do Ragnar Locker (49 KB) dentro da VM. O script `install.bat` mapeia todas as unidades locais, dispositivos removiveis e compartilhamentos de rede do host como pastas compartilhadas dentro da VM. O ransomware executado dentro da VM acessa e cifra todos esses arquivos - aparecendo para o host como operações legitimas do `VBoxHeadless.exe`. **Criptografia:** Salsa20 (chave personalizada de 40+32 bytes) para cifrar arquivos, com chaves protegidas por RSA-2048. A extensao adicionada segue o padrao `ragnar_{computer_id}` com 8 bytes derivados do nome NetBIOS da maquina. O rodape dos arquivos cifrados contem a assinatura `_RAGNAR_`. **Verificação de locale:** O Ragnar Locker verifica o idioma padrao do sistema e encerra com código de saida 666 se detectar paises da CIS (Russia, Ucrania, etc.) - comportamento tipico de grupos de cibercrime de lingua russa. ## Attack Flow ```mermaid graph TB A["🔓 Acesso Inicial<br/>RDP Brute Force / Credenciais roubadas<br/>T1078 Valid Accounts"] --> B["⬆ Escalacao de Privilegios<br/>CVE-2017-0213 COM Exploit<br/>T1068 Privilege Escalation"] B --> C["🔍 Reconhecimento<br/>PsInfo + Dsquery + Port Scanner<br/>T1082 System Discovery"] C --> D["📤 Exfiltração<br/>AnyDesk + RMS para C2<br/>SoftPerfect LAN Search"] D --> E["🖥 Deploy da VM<br/>GPO executa MSI - VirtualBox XP<br/>T1564.006 Run Virtual Instance"] E --> F["🔑 Criptografia Salsa20<br/>Dentro da VM - invisivel ao host<br/>T1486 Data Encrypted for Impact"] F --> G["💰 Dupla Extorsao<br/>Site de vazamentos Ragnar<br/>Resgaté em Monero/Bitcoin"] classDef access fill:#c0392b,color:#fff classDef priv fill:#e67e22,color:#fff classDef recon fill:#f39c12,color:#fff classDef exfil fill:#8e44ad,color:#fff classDef evade fill:#2980b9,color:#fff classDef encrypt fill:#1a5276,color:#fff classDef impact fill:#1e3a5f,color:#fff class A access class B priv class C recon class D exfil class E evade class F encrypt class G impact ``` ## Timeline ```mermaid timeline title Ragnar Locker - Linha do Tempo 2019-12 : Primeiras amostras descobertas 2020-02 : Foco em MSPs - ConnectWise e Kaseya como alvos 2020-04 : Ataque EDP Portugal - US$11M / 10TB dados roubados 2020-05 : Sophos revela técnica de evasão via VirtualBox VM 2020-06 : Parceria anunciada com grupo Maze 2020-11 : Ataque a Capcom - 350.000 dados de clientes 2021 : Ataques a infraestrutura critica na Europa e EUA 2023-10 : Europol prende desenvolvedor principal na Franca 2023-10 : FBI/Europol desativam infraestrutura e site de vazamentos ``` ## Técnicas Utilizadas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - acesso inicial via RDP - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - CVE-2017-0213 - [[t1564-006-run-virtual-instance|T1564.006 - Run Virtual Instance]] - VirtualBox Windows XP - [[t1218-007-msiexec|T1218.007 - Msiexec]] - instalacao silenciosa da VM - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - movimentação lateral - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - verificação de locale CIS - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - AnyDesk/RMS - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - Salsa20 + RSA-2048 - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] ## Grupos que Usam - [[g0061-fin8|FIN8]] - parceiro documentado em campanhas específicas ## Detecção > [!warning] Detectar VirtualBox em Servidores Corporativos > A presenca de Oracle VirtualBox em servidores corporativos - especialmente em caminhos como `C:\Program Files (x86)\VirtualAppliances\` - e indicador critico de potencial ataque Ragnar Locker. Nenhum servidor de producao deve executar hipervisores de desktop sem autorização explicita. **Indicadores comportamentais:** - Instalacao silenciosa de VirtualBox via `msiexec.exe` com parametros de linha de comando incomuns - Execução de `VBoxHeadless.exe` em servidor sem justificativa operacional - GPO task criando tarefas agendadas que executam MSI remoto (URL externa) - Ferramenta `HideUL` ocultando aplicativos da lista de desinstalacao do Windows - AnyDesk instalado e configurado para inicializacao automatica em servidor - RMS (Remote Manipulator System) presente em maquinas comprometidas - Criação de usuario local `Defau1t` adicionado ao grupo Administrators **Sigma recomendado:** - `proc_creation_win_virtualbox_install.yml` - `proc_creation_win_msiexec_network_install.yml` - `registry_event_runkey_anydesk.yml` ## Relevância LATAM/Brasil O [[s0481-ragnar-locker|Ragnar Locker]] conduziu ataques contra empresas brasileiras e latino-americanas nos setores industrial, de energia e telecomúnicacoes. Pelo menos um incidente confirmado envolveu uma grande empresa de telecomúnicacoes no Brasil. A técnica de execução dentro de VM e um desafio particular para organizacoes brasileiras cujá estratégia de defesa se baseia em antivirus sem cobertura EDR em todos os endpoints. O ataque a EDP Portugal - grupo energetico com operações no Brasil via EDP Brasil - demonstrou a capacidade do grupo de impactar infraestrutura critica de energia com resgates de valores extremamente elevados. Com o desmantelamento em 2023, o risco do Ragnar Locker como entidade diminuiu, mas as técnicas inovadoras do grupo foram amplamente adotadas por outros grupos ativos. ## Referências - [MITRE ATT&CK - S0481](https://attack.mitre.org/software/S0481) - [Sophos - Ragnar Locker VM Evasion](https://news.sophos.com/en-us/2020/05/22/the-ransomware-that-attacks-you-from-inside-a-virtual-machine/) - [Acronis - Ragnar Locker Analysis](https://www.acronis.com/en/blog/posts/ragnar-locker/) - [Sygnia - Threat Actor Spotlight: RagnarLocker](https://www.sygnia.co/blog/threat-actor-spotlight-ragnarlocker-ransomware/) - [Europol - Ragnar Locker Takedown 2023](https://www.europol.europa.eu/)