Az FBI 2022. március 7-én új FLASH riasztást tett közzé, amelyben arra figyelmeztet, hogy a RagnarLocker zsarolóprogram-család legalább 52 szervezetet veszélyeztetett 10 kritikus infrastrukturális ágazatban, köztük a kritikus gyártási, energetikai, pénzügyi szolgáltatási, kormányzati és informatikai ágazatban.
Az Identity Theft Resource Center szerint a zsarolóvírus-támadások száma 2020-ban megduplázódott, majd 2021-ben ismét megduplázódott. A RagnarLocker zsarolóprogram-családdal kapcsolatban azonban az az érdekes, hogy 2019 óta létezik, és továbbra is fenyegetésként fennáll, még akkor is, amikor más zsarolóprogram-családok, például a Maze, a DarkSide, a REvil és a BlackMatter visszavonultak vagy letartóztatták őket.
Valójában az FBI először 2020. november 19-én tett közzé FLASH-riasztást a RagnarLocker zsarolóprogram-családról. Ebben a riasztásban az FBI arra figyelmeztetett, hogy a RagnarLocker felhőszolgáltatókat, kommunikációs, építőipari, utazási és vállalati szoftverekkel foglalkozó vállalatokat célzott meg.
Egy szokatlan megközelítés a homályosításhoz
A RagnarLocker számos szokatlan jellemzővel rendelkezik. Először is, megszakítja a folyamatot, ha azt észleli, hogy a gép helye több kelet-európai ország, köztük Oroszország és Ukrajna valamelyikében van, ami arra utal, hogy a támadócsoport (vagy a fenyegető szereplő) ezen országok egyikéhez köthető (mint oly sok más orosz zsarolóvíruscsalád).
A RagnarLocker legkülönlegesebb tulajdonsága az, hogy a fájlokat nem válogatás nélkül, hanem sebészi pontossággal titkosítja. A RagnarLocker ezt a folyamatot a menedzselt szolgáltatók kapcsolatainak megszakításával kezdi, és ezzel olyan leplet hoz létre, amelyből észrevétlenül működhet. Ezután a RagnarLocker csendben törli a kötet árnyékmásolatokat, hogy megakadályozza a titkosított fájlok helyreállítását. Végül a RagnaLocker szelektíven titkosítja a fájlokat, elkerülve a rendszer működése szempontjából kritikus fájlokat és mappákat, mint például az .exe, .dll., Windows és Firefox (más böngészők mellett) - ezzel a megközelítéssel elkerülhető, hogy a támadás befejezéséig gyanút keltsen.
Bár a FLASH riasztása nem említi, a RagnarLocker néhány más aspektusa is érdekes, amelyekről a média is beszámolt. A Bleeping Computer szerint a RagnarLocker figyelmeztetéseket adott ki, hogy kiszivárogtatja az ellopott adatokat, ha az áldozatok az FBI-hoz fordulnak. Az SC Magazine szerint pedig a RagnarLocker bebizonyította, hogy képes megfigyelni az incidensekre reagáló chatszobákat. Eközben az FBI FLASH riasztása azt tanácsolja, hogy a szervezetek ne fizessenek váltságdíjat a bűnözői szereplőknek, mivel ez felbátoríthatja őket arra, hogy további szervezeteket vegyenek célba.
Úgy tűnik, a legjobb megközelítés egy ilyen összetett helyzetben az, ha eleve elkerüljük, hogy váltságdíjat kérjenek érte.
Az IOC-k hosszú listája
Bár Oroszország 2021 vége felé néhány váltságdíjas családot letartóztatott, de az Oroszország és Ukrajna között fennálló konfliktus miatt nem valószínű, hogy ez a fajta együttműködés folytatódni fog. Ettől függetlenül úgy tűnik, hogy a RagnarLocker körül egyre szorosabbra zárul a háló, mivel az FBI által készített néhány IOC meglehetősen árulkodó - különösen az "Alexey Berdin" nevet tartalmazó e-mail cím több változata.
Bár mindkét FLASH-riasztás leírja a RagnarLocker elhomályosító technikáit, érdekes megfigyelni, hogy 2020 novembere és 2022 márciusa között mennyi információ gyűlt össze a kompromittálódási jelek (IOC) tekintetében. Több mint egy tucat e-mail cím mellett az FBI három bitcoin-tárca címet és több mint 30 IP-címet is közzétett, amelyek a parancsnoki és vezérlési (C2) szerverekkel és az adatszivárgással kapcsolatosak.
Az FBI arra kéri az érintett szervezeteket, hogy jelentkezzenek további IOC-okkal, beleértve a rosszindulatú IP-címeket és futtatható fájlokat is.
Kritikus infrastruktúra a célkeresztben
A legtöbb kritikus infrastruktúra-szolgáltató számára a RagnarLocker a legújabb emlékeztető a zsarolóvírus-támadások litániájában, mint például a Colonial Pipeline, a JBS húsfeldolgozó és a Kaseya. Szerencsére az OPSWAT vezető szerepet tölt be a kritikus infrastruktúrák védelmében.
A kritikus infrastruktúrák védelme kihívást jelent az IT/OT integrációk és a régi SCADA rendszerek közötti összetettség, a kritikus eszközökbe való betekintés nehézségei, valamint a kiberbiztonsági készségek hiánya miatt, amely a kritikus infrastruktúra-ágazatban még hangsúlyosabb.
A RagnarLocker nem az első, nem az utolsó és nem is az egyetlen zsarolóprogram-család, amely a kritikus infrastruktúra-ágazatokat veszi célba, ezért elengedhetetlen, hogy ezek a kritikus infrastruktúrával foglalkozó szervezetek éberek maradjanak ezzel a fenyegetéssel szemben. Töltse le az OPSWAT's Guide to Critical Infrastructure Protection (Útmutató a kritikus infrastruktúrák védelméhez ) című dokumentumot, hogy megtudja, hogyan készítse fel szervezetét még ma.
