FBI đã công bố một cảnh báo FLASH mới vào ngày 7/3/2022, cảnh báo rằng gia đình ransomware RagnarLocker đã xâm phạm ít nhất 52 tổ chức trên 10 tổ chức cơ sở hạ tầng trọng yếu các lĩnh vực, bao gồm các lĩnh vực sản xuất quan trọng, năng lượng, dịch vụ tài chính, chính phủ và công nghệ thông tin.
Theo Trung tâm Tài nguyên Trộm cắp Danh tính, các cuộc tấn công ransomware đã tăng gấp đôi vào năm 2020 và tăng gấp đôi một lần nữa vào năm 2021. Nhưng một điều thú vị về gia đình ransomware RagnarLocker là nó đã xuất hiện từ năm 2019, vẫn tồn tại như một mối đe dọa, ngay cả khi các gia đình ransomware khác như Maze, DarkSide, REvil và BlackMatter đã nghỉ hưu hoặc bị bắt.
Trên thực tế, FBI lần đầu tiên công bố cảnh báo FLASH về gia đình ransomware RagnarLocker vào ngày 19 tháng 11 năm 2020. Trong cảnh báo đó, FBI cảnh báo RagnarLocker đang nhắm mục tiêu vào các nhà cung cấp dịch vụ đám mây, truyền thông, xây dựng, du lịch và các công ty phần mềm doanh nghiệp.
Một cách tiếp cận không phổ biến để xáo trộn
RagnarLocker có một số đặc điểm không phổ biến cần lưu ý. Đầu tiên, nó sẽ chấm dứt quá trình của mình nếu phát hiện vị trí của máy tính ở một trong một số quốc gia Đông Âu, bao gồm cả Nga và Ukraine, cho thấy rằng nhóm tấn công (hoặc tác nhân đe dọa) thuộc về một trong những quốc gia này (giống như rất nhiều gia đình ransomware khác của Nga).
Khía cạnh độc đáo nhất của RagnarLocker là cách nó tránh bị phát hiện bằng cách mã hóa các tệp với độ chính xác phẫu thuật thay vì bừa bãi. RagnarLocker bắt đầu quá trình này bằng cách chấm dứt các kết nối của các nhà cung cấp dịch vụ được quản lý, tạo ra một tấm vải liệm mà từ đó nó có thể hoạt động mà không bị phát hiện. Tiếp theo, RagnarLocker âm thầm xóa Volume Shadow Copy để ngăn chặn việc khôi phục các tệp được mã hóa. Cuối cùng, RagnaLocker mã hóa có chọn lọc các tệp, tránh các tệp và thư mục quan trọng đối với hoạt động của hệ thống, chẳng hạn như .exe, .dll., Windows và Firefox (trong số các trình duyệt khác) - cách tiếp cận này tránh gây ra bất kỳ nghi ngờ nào cho đến khi cuộc tấn công hoàn tất.
Mặc dù cảnh báo FLASH không đề cập đến nó, nhưng có một vài khía cạnh khác của RagnarLocker đã được báo cáo trên các phương tiện truyền thông cũng rất thú vị. Theo Bleeping Computer, RagnarLocker đã đưa ra cảnh báo rằng họ sẽ rò rỉ dữ liệu bị đánh cắp nếu nạn nhân của nó tiếp cận FBI. Và theo Tạp chí SC, RagnarLocker đã chứng minh rằng nó có thể quan sát các phòng chat phản hồi sự cố. Trong khi đó, cảnh báo FLASH của FBI khuyên rằng các tổ chức không nên trả tiền chuộc cho các tác nhân tội phạm, vì nó có thể khuyến khích họ nhắm mục tiêu vào các tổ chức bổ sung.
Có vẻ như cách tiếp cận tốt nhất cho một tình huống phức tạp như vậy là tránh bị đòi tiền chuộc ngay từ đầu.
Danh sách dài các IOC
Mặc dù Nga đã tham gia vào một số vụ bắt giữ các gia đình ransomware vào cuối năm 2021, nhưng khó có khả năng loại hợp tác này sẽ tiếp tục do cuộc xung đột đang diễn ra giữa Nga và Ukraine. Bất kể, có vẻ như mạng đang đóng cửa xung quanh RagnarLocker, vì một số IOC mà FBI đã sản xuất khá tiết lộ - đặc biệt, có một số biến thể của địa chỉ email có chứa tên "Alexey Berdin".
Mặc dù cả hai cảnh báo FLASH đều mô tả các kỹ thuật xáo trộn của RagnarLocker, nhưng thật thú vị khi quan sát mức độ thông tin tình báo đã được thu thập vào các chỉ số thỏa hiệp (IOC) trong khoảng thời gian từ tháng 11/2020 đến tháng 3/2022. Ngoài hơn một chục địa chỉ email, FBI cũng đã công bố ba địa chỉ ví bitcoin và hơn 30 địa chỉ IP liên quan đến máy chủ chỉ huy và kiểm soát (C2) và lọc dữ liệu.
FBI đang yêu cầu bất kỳ tổ chức nào bị ảnh hưởng đưa ra các IOC bổ sung, bao gồm các IP độc hại và các tệp thực thi.
cơ sở hạ tầng trọng yếu trong Crosshairs
Đối với hầu hết cơ sở hạ tầng trọng yếu RagnarLocker là lời nhắc nhở gần đây nhất trong một loạt các cuộc tấn công ransomware, chẳng hạn như Colonial Pipeline, JBS meatpacking và Kaseya. May mắn thay OPSWAT Là Một nhà lãnh đạo trong cơ sở hạ tầng trọng yếu bảo vệ.
cơ sở hạ tầng trọng yếu Bảo vệ là một thách thức vì sự phức tạp giữa ITTích hợp / OT và hệ thống SCADA kế thừa, khó khăn để có được khả năng hiển thị vào các tài sản quan trọng và sự thiếu hụt kỹ năng an ninh mạng thậm chí còn rõ rệt hơn trong cơ sở hạ tầng trọng yếu Lĩnh vực.
RagnarLocker không phải là gia đình ransomware đầu tiên, cuối cùng hoặc duy nhất nhắm mục tiêu cơ sở hạ tầng trọng yếu Các lĩnh vực, vì vậy bắt buộc phải cơ sở hạ tầng trọng yếu Các tổ chức vẫn cảnh giác trước mối đe dọa này. Tải xuống OPSWAT's Hướng dẫn để cơ sở hạ tầng trọng yếu Bảo vệ để tìm hiểu cách chuẩn bị cho tổ chức của bạn ngay hôm nay.
