top of page
  • Foto do escritorInternational IT

RagnarLocker: FBI emite novo alerta sobre antiga família de ransomware

Atualizado: 5 de dez. de 2023

O FBI publicou um novo alerta FLASH, informando que a família de ransomware RagnarLocker comprometeu pelo menos 52 organizações em 10 setores críticos de infraestrutura, incluindo manufatura, energia, serviços financeiros, governo e tecnologia da informação.




De acordo com o Identity Theft Resource Center, os ataques de ransomware dobraram em 2020 e dobraram novamente em 2021. O interessante sobre o RagnarLocker é que ele existe desde 2019, persistindo como uma ameaça, diferentemente de outros grupos de ransomware como Maze, DarkSide, REvil e BlackMatter que se aposentaram ou foram presos.


O FBI publicou o seu primeiro alerta FLASH sobre a família de ransomware RagnarLocker em 19 de novembro de 2020. Nesse alerta, avisava que o foco dos ataques eram corporações de software empresarial, de serviços em nuvem e dos setores de comunicação, construção e viagens.


Uma abordagem diferente de Obfuscation


RagnarLocker tem várias características incomuns a serem observadas. A primeira é que o ransomware encerrará seu processo se detectar que a localização da máquina está em algum país do Leste Europeu, incluindo Rússia e Ucrânia, sugerindo que o grupo de cibercriminosos é de um desses países.


Outro aspecto único é que ele evita a detecção criptografando arquivos com precisão cirúrgica em vez de indiscriminadamente. O RagnarLocker inicia esse processo encerrando as conexões dos provedores de serviços gerenciados, criando uma cobertura para operar sem ser descoberto. Em seguida, o RagnarLocker exclui silenciosamente Volume Shadow Copies para impedir a recuperação de arquivos criptografados. Por fim, o ransomware criptografa arquivos seletivamente, evitando arquivos e pastas que são críticos para a operação do sistema, como .exe, .dll., Windows e Firefox (entre outros navegadores) – essa abordagem evita levantar suspeitas até que o ataque seja concluído.


De acordo com o site Bleeping Computer, o grupo por trás do RagnarLocker afirmou que vazará dados roubados se suas vítimas entrarem em contato com o FBI. Vale lembrar que o alerta FLASH do FBI aconselha que as organizações não paguem resgate aos cibercriminosos, pois pode encorajá-los a atacar novas organizações. Em uma situação tão complexa como essa, a melhor abordagem é fazer o máximo para não ser invadido em primeiro lugar.


Uma longa lista de IOCs


Parece que o círculo está se fechando em torno dos hackers por trás do RagnarLocker, já que alguns dos alertas IOCs (Indicator of Compromise) que o FBI emitiu são bastante reveladores. Eles descobriram que existem múltiplas variações de um endereço de e-mail contendo o nome “Alexey Berdin”.


Embora os dois alertas FLASH descrevam as técnicas de "obfuscation" do RagnarLocker, é interessante observar as informações coletadas nos indicadores de comprometimento (IOCs) entre novembro de 2020 e março de 2022. Além dos vários endereços de e-mail, o FBI também publicou três endereços de carteiras de bitcoin e mais de 30 endereços IP relacionados a servidores de "Command and Control" (C2).


O FBI pede que todas as organizações afetadas registrem IOCs adicionais, incluindo IPs maliciosos e arquivos executáveis.



Infraestrutura crítica na mira


Para os provedores de infraestrutura crítica, o RagnarLocker é mais um caso de uma série de ataques de ransomware, como JBS, Colonial Pipeline e Kaseya.


A proteção de infraestrutura crítica é um desafio devido à complexidade entre as integrações de TI/OT e sistemas SCADA legados, a dificuldade de obter visibilidade de ativos críticos e a escassez de profissionais de segurança cibernética.


Por isso, é importantíssimo que as empresas permaneçam vigilantes contra essa e outras ameaças cibernéticas. Baixe nosso e-book "Protegendo Atualizações ICS e SCADA em ambientes de OT" para saber como preparar sua organização.


Fonte: OPSWAT

 



Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page