据国外安全媒体报道，安全研究人员发现一种新的勒索软件攻击技术将恶意软件部署为虚拟机（VM），以逃避传统防御。最近检测到RagnarLocker攻击，其中勒索软件隐藏在Oracle VirtualBox Windows XP VM中。攻击有效载荷为122MB的安装程序，内部有282MB的虚拟映像，隐藏49KB的可执行文件。在检测到的攻击中，Ragnar Locker使用GPO任务执行Microsoft Installer（msiexec.exe），传递参数从远程Web服务器下载并以静默方式安装制作的122 MB未经签名的MSI软件包。

MSI软件包包含一个Oracle VirtualBox虚拟机管理程序和一个名为micro.vdi的虚拟磁盘映像文件（VDI），该文件是Windows XP SP3操作系统的精简版本映像。由于vrun.exe勒索软件应用程序在虚拟客户机内部运行，因此其过程和行为可以不受阻碍地运行，物理主机上的安全软件是无能为力的。

攻击具备高度针对性的，RagnarLocker最近在行动中，对葡萄牙能源巨头葡萄牙能源集团（EDP）的攻击中，成功部署后，要求支付1000万欧元（合1100万美元）赎金。

勒索软件背后的组织通常以托管服务提供商（MSP）为目标，并利用Windows远程桌面协议（RDP）中的漏洞来获得攻击组织的立足点。获得对目标和数据的后，提权到域管理员级别的访问权限后，使用Windows管理原生工具，如PowerShell和Windows组策略对象（GPO），实现网络横向移动到Windows客户端和服务器。