FBI advarer om fornyet Ragnar Locker Ransomware-aktivitet
FBI har udsendt en ny flashadvarsel om nye forekomster af Ragnar Locker ransomware- infektioner. Alarmen (MU-000140-MW) kommer cirka syv måneder efter det første Ragnar Locker-angreb for syv måneder siden og sigter mod at hjælpe virksomheder med at beskytte sig mod den vedvarende trussel, der har plaget virksomheder over hele det økonomiske spektrum siden april 2020.
Indholdsfortegnelse
Infektionsoversigt
For at nå sit mål skal Ragnar Locker finde vej til målets netværk og undersøge dataene deri.
Bemærk! Inden Ragnar Locker springer i aktion, kontrollerer den ofrets systemsprog gennem Windows API GetLocaleInfoW-funktionen. Hvis offeret viser sig at være placeret i Aserbajdsjan, Armenien, Hviderusland, Kasakhstan, Kirgisistan, Moldova, Tadsjikistan, Rusland, Turkmenistan, Usbekistan, Ukraine eller Georgien, stopper Ragnar Locker infektionsprocessen og går ikke længere. Tilsyneladende er pc-brugere, der er bosiddende i et af disse lande, i øjeblikket undtaget fra Ragnar Locker-angreb.
Ellers vil Ragnar Locker bruge UPX, VMProtect samt en række alternative brugerdefinerede eksekverbare pakker til at gemme ransomware i en virtuel Windows XP-computer og udføre deres fjernangreb. Mens han undersøger det målrettede netværk, kontrollerer Ragnar Locker for andre igangværende malwareinfektioner, der måske allerede er i gang. Efter at have samlet alle de nødvendige netværksdetaljer tildeler Ragnar Locker et unikt ID til det målrettede netværk og giver breve til eventuelle ikke-kortlagte eksterne drev.
En selektiv tilgang
I stedet for at blokere normale operationer inden for det kompromitterede netværk efterlader Ragnar Locker systemfiler og websurfingsværktøjer intakte, så den faktiske krypteringsproces kan køre i baggrunden. Imidlertid blokerer ransomware fjernadgangsværktøjer for at forhindre netværksadministratorer i at opfange angrebet.
Legitimationsoplysninger
Skurkerne, der bruger Ragnar Locker, anvender forskellige værktøjer til tilsløring af kode for at holde ransomware undvigende. Desuden navngiver de nyttelasten, der bruges i hvert angreb, efter målets NETBIOS-navn. sidstnævnte er vedhæftet lige ved siden af nyttelastens .RGNR-udvidelse (.RGNR_).
Efterlader ingen sten unturned
Denne uge i Malware afsnit 33 Del 2: Campari Beverage Maker & Capcom Gaming Company lider RagnarLocker Ransomware-angreb
Når Ragnar Locker starter kryptering, påvirker det hvert udpegede logiske drev inden for netværket. Hvad mere er, sørger det også for at slette sikkerhedskopierne oprettet af Volume Shadow Copy Service ved at anvende både kommandoerne> vssadmin delete shadows / all / quiet og > wmic.exe.shadowcopy.delete. Infektionen afsluttes med løsesumnoten - et dokument med navnet RAGNAR_LOCKER.txt - der indeholder løsesumbetaling og andre instruktioner.
Præventive målinger
I lighed med ethvert andet ransomware-angreb er Ragnar Locker i stand til at påføre masseskader, hvilket ofte koster ofrene millioner at komme sig. Det er grunden til, at de konventionelle foranstaltninger relateret til at holde offline-sikkerhedskopier, opdaterede AV-løsninger, sikre Wi-Fi-hotstpots og VPN'er og multifaktoradgangskodegodkendelsesværktøjer bør forblive af altafgørende betydning for store organisationer og små virksomheder.