Το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) λέει ότι η συμμορία ransomware Ragnar Locker έχει παραβιάσει τα δίκτυα τουλάχιστον 52 οργανισμών που ανήκουν στις κρίσιμες υποδομές των ΗΠΑ.
Η αποκάλυψη έγινε μέσω μιας κοινής προειδοποίησης με την CISA.
Δείτε επίσης: Samsung hacked: Hackers έκλεψαν τον source code συσκευών Galaxy
“Από τον Ιανουάριο του 2022, το FBI εντόπισε τουλάχιστον 52 οντότητες σε 10 τομείς κρίσιμων υποδομών, που έχουν επηρεαστεί από το RagnarLocker ransomware, συμπεριλαμβανομένων οντοτήτων στους κρίσιμους τομείς της παραγωγής, της ενέργειας, των χρηματοοικονομικών υπηρεσιών, της κυβέρνησης και της τεχνολογίας πληροφοριών“, ανέφερε η ομοσπονδιακή υπηρεσία επιβολής του νόμου [PDF].
“Οι hackers πίσω από το RagnarLocker ransomware αλλάζουν συχνά τις τεχνικές obfuscation για να αποφύγουν τον εντοπισμό και την πρόληψη“.
Η ειδοποίηση του FBI εστιάζει στην παροχή δεικτών παραβίασης (IOC) που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να εντοπίσουν και να μπλοκάρουν μια πιθανή ransomware επίθεση από τη συμμορία Ragnar Locker.
Οι IOCs που σχετίζονται με το Ragnar Locker ransomware περιλαμβάνουν πληροφορίες για την υποδομή των hackers, διευθύνσεις Bitcoin που χρησιμοποιούνται για τη συλλογή λύτρων και διευθύνσεις email που χρησιμοποιούνται από τους χειριστές της συμμορίας.
Δείτε επίσης: Ουκρανός ερευνητής δημοσίευσε τον source code του Conti ransomware
Τα πρώτα payloads που σχετίζονταν με το Ragnar Locker ransomware, παρατηρήθηκαν για πρώτη φορά στα τέλη Δεκεμβρίου του 2019.
Οι χειριστές του Ragnar Locker ransomware τερματίζουν το λογισμικό απομακρυσμένης διαχείρισης (π.χ. ConnectWise, Kaseya) που χρησιμοποιείται από managed service providers (MSP) για τη διαχείριση των συστημάτων των πελατών εξ αποστάσεως, σε παραβιασμένα εταιρικά endpoints.
Με αυτόν τον τρόπο, οι επιτιθέμενοι καταφέρνουν να αποφεύγουν τον εντοπισμό και διασφαλίζουν ότι οι διαχειριστές που είναι συνδεδεμένοι εξ αποστάσεως, δεν παρεμβαίνουν ούτε μπλοκάρουν τη διαδικασία ανάπτυξης του ransomware.
Το FBI ζητά πληροφορίες που σχετίζονται με επιθέσεις της Ragnar Locker συμμορίας
Το FBI ζήτησε από διαχειριστές και επαγγελματίες ασφαλείας να μοιραστούν πληροφορίες που σχετίζονται με τη ransomware ομάδα και τη δράση της.
Το FBI αναζητά χρήσιμες πληροφορίες που θα βοηθήσουν στον εντοπισμό των hackers. Τέτοιες πληροφορίες είναι αντίγραφα των σημειωμάτων που ζητούν λύτρα, χρονοδιαγράμματα κακόβουλης δραστηριότητας, δείγματα των payload και άλλα.
Το FBI τόνισε για άλλη μια φορά ότι δεν ενθαρρύνει την πληρωμή λύτρων στη συμμορία Ragnar Locker και σε άλλες ransomware ομάδες, καθώς τα θύματα δεν έχουν καμία εγγύηση ότι η πληρωμή θα αποτρέψει διαρροές κλεμμένων δεδομένων ή μελλοντικές επιθέσεις.
Δείτε επίσης: Δωρεάν εργαλείο αποκρυπτογράφησης για το HermeticRansom ransomware που στοχεύει την Ουκρανία
Αντίθετα, οι πληρωμές ενθαρρύνουν τους hackers να συνεχίσουν τις επιθέσεις τους.
Από την άλλη μεριά, η υπηρεσία κατανοεί ότι τα προβλήματα που μπορεί να προκαλέσει μια ransomware επίθεση, ενδέχεται να αναγκάσουν τα στελέχη να πληρώσουν λύτρα, καθώς πιστεύουν ότι έτσι μπορούν να προστατεύσουν τους μετόχους, τους πελάτες ή τους υπαλλήλους.
Το FBI ανέφερε, επίσης, μέτρα για τον αποκλεισμό τέτοιων επιθέσεων και προέτρεψε τα θύματα να αναφέρουν τέτοια περιστατικά στο τοπικό γραφείο του FBI.
Πηγή: Bleeping Computer