聯邦調查局於 2022 年 3 月 7 日發佈了新的 FLASH 警報 ,警告稱 RagnarLocker 勒索軟體家族已經入侵了 10 個關鍵基礎設施部門的至少 52 個組織,包括關鍵製造、能源、金融服務、政府和資訊技術部門。
根據 身份盜竊資源中心的資料,勒索軟體攻擊在 2020 年翻了一番,並在 2021 年再次翻了一番。但關於RagnarLocker勒索軟體家族的一件有趣的事情是,它自 2019 年以來一直存在,作為一種威脅持續存在,即使Maze、DarkSide、REvil 和 BlackMatter 等其他勒索軟體家族已經退休或被捕。
事實上,FBI於 2020 年 11 月 19 日首次發佈了 有關 RagnarLocker 勒索軟體系列的 FLASH 警報。在該警報中,聯邦調查局警告說,RagnarLocker的目標是雲端服務提供者,通訊,建築,旅遊和企業軟體公司。
一種不常見的混淆方法
RagnarLocker有幾個不常見的特點需要注意。首先,如果它檢測到機器的位置位於幾個東歐國家之一,包括俄羅斯和烏克蘭,它將終止其進程,這表明攻擊組織(或威脅行為者)歸因於這些國家之一(就像許多其他俄羅斯勒索軟體家族一樣)。
RagnarLocker最獨特的方面是它如何透過外科手術般的精確度而不是不分青紅皂白地加密檔來逃避檢測。RagnarLocker透過終止託管服務提供者的連接來開始此過程,從而創建一個護罩,從中它可以在不被發現的情況下運行。接下來,RagnarLocker 會以靜默方式刪除卷影副本,以防止恢復加密檔。最後,RagnaLocker有選擇地加密檔,避免對系統操作至關重要的檔和資料夾,例如.exe,.dll.,Windows和Firefox(以及其他瀏覽器) - 這種方法避免了在攻擊完成之前引起任何懷疑。
儘管 FLASH 警報沒有提到它,但媒體報導的 RagnarLocker 的其他一些方面也很有趣。據 Bleeping Computer 稱, RagnarLocker 已發出警告,如果受害者接近 FBI,它將洩露被盜資料。據 SC Magazine 報導, RagnarLocker 已經證明它可以觀察事件回應聊天室。與此同時,聯邦調查局的FLASH警報建議組織不應向犯罪分子支付贖金,因為這可能會使他們更加大膽地針對其他組織。
似乎解決這種複雜情況的最佳方法是首先避免被贖回。
一長串國際奧會
雖然俄羅斯在 2021 年底對勒索軟體家族進行了一些表演性逮捕,但鑒於俄羅斯和烏克蘭之間持續的衝突,這種合作不太可能繼續下去。無論如何,RagnarLocker 周圍的網路似乎正在關閉,因為 FBI 製作的一些 IOC 非常具有啟發性——特別是,包含名稱“Alexey Berdin”的電子郵件地址有幾種變體。
儘管這兩個 FLASH 警報都描述了 RagnarLocker 的混淆技術,但有趣的是,觀察 2020 年 11 月至 2022 年 3 月期間有多少情報被蒐集到入侵指標 (IOC) 中。除了十幾個電子郵件位址外,FBI還公佈了三個比特幣錢包位址,以及30多個與命令和控制(C2)伺服器和資料洩露相關的IP位址。
聯邦調查局要求任何受影響的組織提出額外的 IOC,包括惡意 IP 和可執行檔。
關鍵基礎設施處於十字准線
對於大多數關鍵基礎設施供應商來說,RagnarLocker 是一連串勒索軟體攻擊中的最新提醒,例如 Colonial Pipeline、JBS meatpacking 和 Kaseya。幸運 OPSWAT 是 關鍵基礎設施保護領域的領導者。
關鍵基礎設施保護具有挑戰性,因為 IT /OT 整合和遺留的SCADA系統,難以獲得關鍵資產的可見性,以及網路安全技能的短缺,這在關鍵基礎設施領域更為明顯。
RagnarLocker並不是第一個、最後一個或唯一一個針對關鍵基礎設施部門的勒索軟體家族,因此這些關鍵基礎設施組織必須對這種威脅保持警惕。下載 OPSWAT的關鍵 基礎設施保護指南 ,瞭解如何立即為您的組織做好準備。
