O FBI publicou um novo alerta FLASH, informando que a família de ransomware RagnarLocker comprometeu pelo menos 52 organizações em 10 setores críticos de infraestrutura, incluindo manufatura, energia, serviços financeiros, governo e tecnologia da informação.
De acordo com o Identity Theft Resource Center, os ataques de ransomware dobraram em 2020 e dobraram novamente em 2021. O interessante sobre o RagnarLocker é que ele existe desde 2019, persistindo como uma ameaça, diferentemente de outros grupos de ransomware como Maze, DarkSide, REvil e BlackMatter que se aposentaram ou foram presos.
O FBI publicou o seu primeiro alerta FLASH sobre a família de ransomware RagnarLocker em 19 de novembro de 2020. Nesse alerta, avisava que o foco dos ataques eram corporações de software empresarial, de serviços em nuvem e dos setores de comunicação, construção e viagens.
Uma abordagem diferente de Obfuscation
RagnarLocker tem várias características incomuns a serem observadas. A primeira é que o ransomware encerrará seu processo se detectar que a localização da máquina está em algum país do Leste Europeu, incluindo Rússia e Ucrânia, sugerindo que o grupo de cibercriminosos é de um desses países.
Outro aspecto único é que ele evita a detecção criptografando arquivos com precisão cirúrgica em vez de indiscriminadamente. O RagnarLocker inicia esse processo encerrando as conexões dos provedores de serviços gerenciados, criando uma cobertura para operar sem ser descoberto. Em seguida, o RagnarLocker exclui silenciosamente Volume Shadow Copies para impedir a recuperação de arquivos criptografados. Por fim, o ransomware criptografa arquivos seletivamente, evitando arquivos e pastas que são críticos para a operação do sistema, como .exe, .dll., Windows e Firefox (entre outros navegadores) – essa abordagem evita levantar suspeitas até que o ataque seja concluído.
De acordo com o site Bleeping Computer, o grupo por trás do RagnarLocker afirmou que vazará dados roubados se suas vítimas entrarem em contato com o FBI. Vale lembrar que o alerta FLASH do FBI aconselha que as organizações não paguem resgate aos cibercriminosos, pois pode encorajá-los a atacar novas organizações. Em uma situação tão complexa como essa, a melhor abordagem é fazer o máximo para não ser invadido em primeiro lugar.
Uma longa lista de IOCs
Parece que o círculo está se fechando em torno dos hackers por trás do RagnarLocker, já que alguns dos alertas IOCs (Indicator of Compromise) que o FBI emitiu são bastante reveladores. Eles descobriram que existem múltiplas variações de um endereço de e-mail contendo o nome “Alexey Berdin”.
Embora os dois alertas FLASH descrevam as técnicas de "obfuscation" do RagnarLocker, é interessante observar as informações coletadas nos indicadores de comprometimento (IOCs) entre novembro de 2020 e março de 2022. Além dos vários endereços de e-mail, o FBI também publicou três endereços de carteiras de bitcoin e mais de 30 endereços IP relacionados a servidores de "Command and Control" (C2).
O FBI pede que todas as organizações afetadas registrem IOCs adicionais, incluindo IPs maliciosos e arquivos executáveis.
VEJA TAMBÉM: Scanner de Pen-Drive: Proteja sua infraestrutura crítica com o MetaDefender Kiosk da OPSWAT
Infraestrutura crítica na mira
Para os provedores de infraestrutura crítica, o RagnarLocker é mais um caso de uma série de ataques de ransomware, como JBS, Colonial Pipeline e Kaseya.
A proteção de infraestrutura crítica é um desafio devido à complexidade entre as integrações de TI/OT e sistemas SCADA legados, a dificuldade de obter visibilidade de ativos críticos e a escassez de profissionais de segurança cibernética.
Por isso, é importantíssimo que as empresas permaneçam vigilantes contra essa e outras ameaças cibernéticas. Baixe nosso e-book "Protegendo Atualizações ICS e SCADA em ambientes de OT" para saber como preparar sua organização.
Fonte: OPSWAT
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
