Το FBI Cyber Division προειδοποιεί για αυξημένη δραστηριότητα του Ragnar Locker ransomware.
Η έκτακτη προειδοποίηση εκδόθηκε από το FBI σε συνεργασία με DHS-CISA και παρέχει στους επαγγελματίες ασφάλειας και τους διαχειριστές συστημάτων πληροφορίες για το ransomware και συμβουλές προστασίας.
“Το FBI παρατήρησε για πρώτη φορά το Ragnar Locker ransomware τον Απρίλιο του 2020, όταν άγνωστοι εγκληματίες το χρησιμοποίησαν για να κρυπτογραφήσουν τα αρχεία μιας μεγάλης εταιρείας για περίπου 11 εκατομμύρια δολάρια και απείλησαν να διαρρεύσουν ευαίσθητα εταιρικά δεδομένα μεγέθους 10 TB“, λέει το FBI.
“Από τότε, το Ragnar Locker ransomware έχει χρησιμοποιηθεί εναντίον μιας μεγάλης λίστας θυμάτων, που περιλαμβάνει παρόχους cloud υπηρεσιών, εταιρείες επικοινωνιών, κατασκευών, ταξιδιών και εταιρείες παροχής εταιρικών λογισμικών“.
Ragnar Locker ransomware: Τακτικές
Αρχικά, η συμμορία πίσω από το ransomware διερευνά τα δίκτυα των θυμάτων για να ανακαλύψει πόρους δικτύου, αντίγραφα ασφαλείας και διάφορα άλλα ευαίσθητα αρχεία. Οι hackers κλέβουν τα αρχεία για να μπορούν να απειλήσουν τα θύματα ότι αυτά τα δεδομένα θα δημοσιευτούν σε περίπτωση που δεν πληρωθούν τα λύτρα. Αφού κλέβουν τα αρχεία, οι εγκληματίες εγκαθιστούν το ransomware payload για να κρυπτογραφήσουν το εταιρικό δίκτυο.
Η Ragnar Locker ransomware συμμορία είναι, επίσης γνωστή, για τη συχνή εναλλαγή “payload obfuscation” τεχνικών για την αποφυγή της ανίχνευσης, καθώς και για τη χρήση custom packing αλγορίθμων και για την κρυπτογράφηση αρχείων από εικονικές μηχανές Windows XP.
Επίσης, το ransomware έχει τη δυνατότητα να σταματά υπηρεσίες που χρησιμοποιούνται από MSPs για τη διαχείριση των δικτύων των πελατών τους από απόσταση.
Αφού γίνουν οι πρώτες ενέργειες, οι hackers του Ragnar Locker εγκαθιστούν ένα εξαιρετικά στοχευμένο εκτελέσιμο ransomware που προσθέτει την επέκταση “RGNR_”.
Αυτό το ransomware διαθέτει ενσωματωμένο κλειδί RSA-2048 και εμφανίζει σημειώματα λύτρων. Τα σημειώματα λύτρων του Ragnar Locker περιλαμβάνουν το όνομα του θύματος, ένα link προς το Tor site και ένα προς το site διαρροής δεδομένων όπου η συμμορία ransomware θα δημοσιεύσει τα δεδομένα του θύματος, αν δεν πληρωθούν τα λύτρα.
Επίθεση στην Energias de Portugal (EDP)
Το FBI δεν έδωσε περισσότερες πληροφορίες σχετικά με τη μεγάλη εταιρεία που έπεσε θύμα του Ragnar Locker ransomware τον Απρίλιο. Ωστόσο, τα δεδομένα ταιριάζουν απόλυτα με μια επίθεση ενάντια στην εταιρεία ενέργειας Energias de Portugal (EDP).
Η EDP είναι ένας από τους μεγαλύτερους παρόχους ενέργειας στην Ευρώπη και εξυπηρετεί περίπου 11 εκατομμύρια πελάτες σε 19 χώρες και σε 4 ηπείρους.
Η Ragnar Locker συμμορία κατάφερε να κλέψει εμπιστευτικά εταιρικά δεδομένα (10 TB). Κάποια από αυτά σχετίζονταν με συμβάσεις με πελάτες και συνεργάτες. Οι hackers έκλεψαν, επίσης, μια βάση δεδομένων, που περιείχε ονόματα σύνδεσης, κωδικούς πρόσβασης, λογαριασμούς, διευθύνσεις URL και σημειώσεις υπαλλήλων της EDP.
Ωστόσο, ένας εκπρόσωπος της EDP είχε πει στο BleepingComputer ότι η επίθεση δεν είχε αντίκτυπο στην κρίσιμη υποδομή και την υπηρεσία παροχής ηλεκτρικού ρεύματος.
Το FBI εκδίδει συχνά προειδοποιήσεις για διάφορες απειλές. Κατά τον τελευταίο χρόνο, έχει προειδοποιήσει τις αμερικανικές επιχειρήσεις και για άλλα ransomware, όπως τα LockerGoga, MegaCortex, Maze, Netwalker και ProLock.
Πηγή: Bleeping Computer