RagnarLocker: FBI emite novo alerta sobre antiga família de ransomware

Atualizado: há 5 dias

O FBI publicou um novo alerta FLASH, informando que a família de ransomware RagnarLocker comprometeu pelo menos 52 organizações em 10 setores críticos de infraestrutura, incluindo manufatura, energia, serviços financeiros, governo e tecnologia da informação.



VEJA TAMBÉM: CISA compartilha orientações sobre como evitar sequestro de dados via ransomware


De acordo com o Identity Theft Resource Center, os ataques de ransomware dobraram em 2020 e dobraram novamente em 2021. O interessante sobre o RagnarLocker é que ele existe desde 2019, persistindo como uma ameaça, diferentemente de outros grupos de ransomware como Maze, DarkSide, REvil e BlackMatter que se aposentaram ou foram presos.


O FBI publicou o seu primeiro alerta FLASH sobre a família de ransomware RagnarLocker em 19 de novembro de 2020. Nesse alerta, avisava que o foco dos ataques eram corporações de software empresarial, de serviços em nuvem e dos setores de comunicação, construção e viagens.


Uma abordagem diferente de Obfuscation


RagnarLocker tem várias características incomuns a serem observadas. A primeira é que o ransomware encerrará seu processo se detectar que a localização da máquina está em algum país do Leste Europeu, incluindo Rússia e Ucrânia, sugerindo que o grupo de cibercriminosos é de um desses países.


Outro aspecto único é que ele evita a detecção criptografando arquivos com precisão cirúrgica em vez de indiscriminadamente. O RagnarLocker inicia esse processo encerrando as conexões dos provedores de serviços gerenciados, criando uma cobertura para operar sem ser descoberto. Em seguida, o RagnarLocker exclui silenciosamente Volume Shadow Copies para impedir a recuperação de arquivos criptografados. Por fim, o ransomware criptografa arquivos seletivamente, evitando arquivos e pastas que são críticos para a operação do sistema, como .exe, .dll., Windows e Firefox (entre outros navegadores) – essa abordagem evita levantar suspeitas até que o ataque seja concluído.


De acordo com o site Bleeping Computer, o grupo por trás do RagnarLocker afirmou que vazará dados roubados se suas vítimas entrarem em contato com o FBI. Vale lembrar que o alerta FLASH do FBI aconselha que as organizações não paguem resgate aos cibercriminosos, pois pode encorajá-los a atacar novas organizações. Em uma situação tão complexa como essa, a melhor abordagem é fazer o máximo para não ser invadido em primeiro lugar.


Uma longa lista de IOCs


Parece que o círculo está se fechando em torno dos hackers por trás do RagnarLocker, já que alguns dos alertas IOCs (Indicator of Compromise) que o FBI emitiu são bastante reveladores. Eles descobriram que existem múltiplas variações de um endereço de e-mail contendo o nome “Alexey Berdin”.


Embora os dois alertas FLASH descrevam as técnicas de "obfuscation" do RagnarLocker, é interessante observar as informações coletadas nos indicadores de comprometimento (IOCs) entre novembro de 2020 e março de 2022. Além dos vários endereços de e-mail, o FBI também publicou três endereços de carteiras de bitcoin e mais de 30 endereços IP relacionados a servidores de "Command and Control" (C2).


O FBI pede que todas as organizações afetadas registrem IOCs adicionais, incluindo IPs maliciosos e arquivos executáveis.


VEJA TAMBÉM: Scanner de Pen-Drive: Proteja sua infraestrutura crítica com o MetaDefender Kiosk da OPSWAT


Infraestrutura crítica na mira


Para os provedores de infraestrutura crítica, o RagnarLocker é mais um caso de uma série de ataques de ransomware, como JBS, Colonial Pipeline e Kaseya.


A proteção de infraestrutura crítica é um desafio devido à complexidade entre as integrações de TI/OT e sistemas SCADA legados, a dificuldade de obter visibilidade de ativos críticos e a escassez de profissionais de segurança cibernética.


Por isso, é importantíssimo que as empresas permaneçam vigilantes contra essa e outras ameaças cibernéticas. Baixe nosso e-book "Protegendo Atualizações ICS e SCADA em ambientes de OT" para saber como preparar sua organização.


Fonte: OPSWAT

 

Conte com a International IT e a OPSWAT para implementar uma metodologia Zero Trust e proteger a infraestrutura crítica da sua empresa.


Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

308 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos