El FBI publicó una nueva alerta FLASH , informando que la familia de ransomware RagnarLocker ha comprometido al menos a 52 organizaciones en 10 sectores de infraestructura crítica, que incluyen manufactura, energía, servicios financieros, gobierno y tecnología de la información.
Según el Identity Theft Resource Center , los ataques de ransomware se duplicaron en 2020 y se duplicaron nuevamente en 2021. Lo interesante de RagnarLocker es que existe desde 2019 y persiste como una amenaza, a diferencia de otros grupos de ransomware como Maze, DarkSide, REvil y BlackMatter. que se jubilaron o fueron arrestados.
El FBI publicó su primera alerta FLASH sobre la familia de ransomware RagnarLocker el 19 de noviembre de 2020. En esa alerta, advirtió que el enfoque de los ataques era el software empresarial, los servicios en la nube y las industrias de comunicaciones, construcción y viajes.
Un enfoque diferente a la ofuscación
RagnarLocker tiene varias características inusuales a tener en cuenta. La primera es que el ransomware finalizará su proceso si detecta que la ubicación de la máquina se encuentra en un país de Europa del Este, incluidos Rusia y Ucrania, lo que sugiere que el grupo de ciberdelincuentes es de uno de estos países.
Otro aspecto único es que evita la detección mediante el cifrado de archivos con precisión quirúrgica en lugar de indiscriminadamente. RagnarLocker inicia este proceso al terminar las conexiones de los proveedores de servicios administrados, creando una cobertura para operar sin ser descubierto. Luego, RagnarLocker elimina silenciosamente las instantáneas de volumen para evitar la recuperación de archivos cifrados. Finalmente, el ransomware encripta archivos de forma selectiva, evitando archivos y carpetas que son críticos para el funcionamiento del sistema, como .exe, .dll., Windows y Firefox (entre otros navegadores); este enfoque evita levantar sospechas hasta que se completa el ataque.
Según el sitio web Bleeping Computer , el grupo detrás de RagnarLocker ha afirmado que filtrará los datos robados si sus víctimas contactan al FBI. Vale la pena recordar que la alerta FLASH del FBI aconseja a las organizaciones que no paguen rescate a los ciberdelincuentes, ya que puede alentarlos a atacar nuevas organizaciones. En una situación tan compleja, el mejor enfoque es hacer todo lo posible para no ser pirateado en primer lugar.
Una larga lista de IOCs
Parece que el círculo se está cerrando en torno a los piratas informáticos detrás de RagnarLocker, ya que algunas de las alertas IOC ( indicador de compromiso) que ha emitido el FBI son bastante reveladoras. Descubrieron que hay múltiples variaciones de una dirección de correo electrónico que contiene el nombre "Alexey Berdin".
Si bien las dos alertas FLASH describen las técnicas de "ofuscación" de RagnarLocker, es interesante observar la información recopilada en los Indicadores de compromiso (IOC) entre noviembre de 2020 y marzo de 2022. Además de las diversas direcciones de correo electrónico, el FBI también publicó tres bitcoin direcciones de billetera y más de 30 direcciones IP relacionadas con servidores de "Comando y Control" (C2).
El FBI insta a todas las organizaciones afectadas a presentar IOC adicionales, incluidas IP maliciosas y archivos ejecutables.
Infraestructura crítica a la vista
Para los proveedores de infraestructura crítica, RagnarLocker es un caso más en una serie de ataques de ransomware como JBS , Colonial Pipeline y Kaseya .
Proteger la infraestructura crítica es un desafío debido a la complejidad entre las integraciones de TI/OT y los sistemas SCADA heredados, la dificultad de obtener visibilidad de los activos críticos y la escasez de profesionales de ciberseguridad.
Por lo tanto, es fundamental que las empresas permanezcan atentas a esta y otras ciberamenazas. Descargue nuestro libro electrónico " Secureing ICS and SCADA Updates in OT Environments " para aprender cómo preparar su organización.
Fuente: OPSWAT
Cuente con International IT y OPSWAT para implementar una metodología Zero Trust y proteger la infraestructura crítica de su empresa.
Descubra nuestras soluciones avanzadas, robustas y seguras , NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral y Help Desk.
