FBI a publicat o nouă alertă FLASH la 7 martie 2022, avertizând că familia de ransomware RagnarLocker a compromis cel puțin 52 de organizații din 10 sectoare de infrastructură critică, inclusiv sectoarele critice de producție, energie, servicii financiare, guvern și tehnologie a informației.
Potrivit Identity Theft Resource Center, atacurile ransomware s-au dublat în 2020 și s-au dublat din nou în 2021. Dar un lucru interesant în legătură cu familia de ransomware RagnarLocker este faptul că există încă din 2019, persistând ca amenințare, chiar dacă alte familii de ransomware, precum Maze, DarkSide, REvil și BlackMatter, s-au retras sau au fost arestate.
De fapt, FBI a publicat pentru prima dată o alertă FLASH despre familia de ransomware RagnarLocker pe 19 noiembrie 2020. În acea alertă, FBI a avertizat că RagnarLocker viza furnizorii de servicii cloud, companiile din domeniul comunicațiilor, construcțiilor, călătoriilor și al software-ului de întreprindere.
O abordare neobișnuită a obscurantismului
RagnarLocker are câteva caracteristici neobișnuite care trebuie remarcate. În primul rând, își va încheia procesul dacă detectează că locația mașinii se află într-una dintre mai multe țări din Europa de Est, inclusiv Rusia și Ucraina, sugerând că atribuirea grupului de atac (sau a actorului de amenințare) se face către una dintre aceste țări (la fel ca multe alte familii de ransomware rusesc).
Aspectul cel mai unic al lui RagnarLocker este modul în care evită detectarea prin criptarea fișierelor cu o precizie chirurgicală, în loc de a le cripta fără discriminare. RagnarLocker începe acest proces prin întreruperea conexiunilor furnizorilor de servicii gestionate, creând un giulgiu din care poate opera nedescoperit. Apoi, RagnarLocker șterge în tăcere Volume Shadow Copies pentru a împiedica recuperarea fișierelor criptate. În cele din urmă, RagnarLocker criptează selectiv fișierele, evitând fișierele și folderele care sunt esențiale pentru funcționarea sistemului, cum ar fi .exe, .dll., Windows și Firefox (printre alte browsere) - această abordare evită să ridice orice suspiciune până când atacul este complet.
Deși alerta FLASH nu menționează acest lucru, există alte câteva aspecte ale RagnarLocker care au fost raportate în mass-media și care sunt, de asemenea, interesante. Potrivit Bleeping Computer, RagnarLocker a emis avertismente că va divulga datele furate dacă victimele sale se adresează FBI-ului. Și, potrivit SC Magazine, RagnarLocker a demonstrat că poate observa camerele de chat de răspuns la incidente. Între timp, alerta FLASH a FBI recomandă ca organizațiile să nu plătească o răscumpărare actorilor criminali, deoarece acest lucru îi poate încuraja să vizeze alte organizații.
Se pare că cea mai bună abordare a unei situații atât de complexe este să evităm să fim răscumpărați.
O listă lungă de IOC-uri
Deși Rusia s-a angajat în unele arestări performative ale unor familii de ransomware spre sfârșitul anului 2021, este puțin probabil ca acest tip de cooperare să continue, având în vedere conflictul actual dintre Rusia și Ucraina. Indiferent de aceasta, se pare că plasa se închide în jurul lui RagnarLocker, deoarece unele dintre COI-urile pe care FBI le-a produs sunt destul de revelatoare - în special, există mai multe variante ale unei adrese de e-mail care conține numele "Alexey Berdin".
Chiar dacă ambele alerte FLASH descriu tehnicile de ofuscare ale lui RagnarLocker, este interesant de observat cât de multe informații au fost colectate în ceea ce privește indicatorii de compromitere (IOC) între noiembrie 2020 și martie 2022. Pe lângă mai mult de o duzină de adrese de e-mail, FBI a publicat, de asemenea, trei adrese de portofele bitcoin și peste 30 de adrese IP legate de serverele de comandă și control (C2) și de exfiltrarea de date.
FBI cere tuturor organizațiilor afectate să comunice informații suplimentare despre IOC, inclusiv IP-uri și executabile rău intenționate.
Infrastructura critică în vizor
Pentru majoritatea furnizorilor de infrastructuri critice, RagnarLocker este cea mai recentă amintire dintr-o litanie de atacuri ransomware, cum ar fi Colonial Pipeline, JBS meatpacking și Kaseya. Din fericire, OPSWAT este un lider în protecția infrastructurilor critice.
Protecția infrastructurilor critice reprezintă o provocare din cauza complexității dintre integrarea IT/OT și sistemele SCADA tradiționale, a dificultății de a obține vizibilitate asupra activelor critice și a lipsei de competențe în domeniul securității cibernetice, care este și mai pronunțată în sectorul infrastructurilor critice.
RagnarLocker nu este prima, ultima sau singura familie de ransomware care vizează sectoarele de infrastructură critică, astfel încât este imperativ ca aceste organizații de infrastructură critică să rămână vigilente în fața acestei amenințări. Descărcați OPSWAT' Ghidul pentru protecția infrastructurilor critice pentru a afla cum să vă pregătiți organizația încă de astăzi.
