Computer Security L'FBI avverte della rinnovata attività del ransomware...

L'FBI avverte della rinnovata attività del ransomware Ragnar Locker

ragnar locker ransomware attacco L'FBI ha emesso un nuovo avviso flash sulle nuove istanze di infezioni da ransomware Ragnar Locker. L'allarme (MU-000140-MW) arriva circa sette mesi dopo il primo attacco di Ragnar Locker sette mesi fa e mira ad aiutare le aziende a proteggersi dalla minaccia persistente che ha afflitto le aziende dell'intero spettro economico dall'aprile 2020.

Panoramica sulle infezioni

Per raggiungere il suo obiettivo, Ragnar Locker deve trovare la sua strada verso la rete del bersaglio ed esaminare i dati in essa contenuti.

Nota! Prima che Ragnar Locker entri in azione, controlla le impostazioni internazionali del sistema della vittima tramite la funzione GetLocaleInfoW dell'API di Windows. Se la vittima si trova in Azerbaigian, Armenia, Bielorussia, Kazakistan, Kirghizistan, Moldova, Tagikistan, Russia, Turkmenistan, Uzbekistan, Ucraina o Georgia, Ragnar Locker interrompe il processo di infezione e non va oltre. Apparentemente, gli utenti di PC che risiedono in uno di questi paesi sono attualmente esentati dagli attacchi di Ragnar Locker.

Altrimenti, Ragnar Locker utilizzerà UPX, VMProtect e una serie di packer eseguibili personalizzati alternativi per archiviare il ransomware all'interno di un computer virtuale Windows XP ed eseguire i loro attacchi remoti. Durante l'esame della rete mirata, Ragnar Locker verifica la presenza di altre infezioni malware in corso che potrebbero essere già iniziate. Dopo aver raccolto tutti i dettagli di rete necessari, Ragnar Locker assegna un ID univoco alla rete di destinazione e invia lettere a qualsiasi unità esterna non mappata.

Un approccio selettivo

Piuttosto che bloccare le normali operazioni all'interno della rete compromessa, Ragnar Locker lascia intatti i file di sistema e gli strumenti di navigazione web per consentire l'esecuzione in background del processo di crittografia effettivo. Tuttavia, il ransomware blocca gli strumenti di accesso remoto per impedire agli amministratori di rete di intercettare l'attacco.

Credenziali

I criminali che utilizzano Ragnar Locker applicano vari strumenti di offuscamento del codice per mantenere sfuggente il ransomware. Inoltre, denominano il carico utile utilizzato in ogni attacco dopo il nome NETBIOS del bersaglio. quest'ultimo viene aggiunto proprio accanto all'estensione .RGNR del payload (.RGNR_).

Non lasciare nulla di intentato


Questa settimana nell'episodio 33 di malware, parte 2: Campari Beverage Maker e Capcom Gaming Company subiscono attacchi RagnarLocker Ransomware

Una volta che Ragnar Locker avvia la crittografia, influisce su ciascuna unità logica designata all'interno della rete. Inoltre, si assicura anche di cancellare le copie di backup create dal servizio Copia Shadow del volume applicando i comandi > vssadmin delete shadows / all / quiet e > wmic.exe.shadowcopy.delete. L'infezione si conclude con la richiesta di riscatto - un documento denominato RAGNAR_LOCKER.txt - contenente il pagamento del riscatto e altre istruzioni.

Misure preventive

Simile a qualsiasi altro attacco ransomware, Ragnar Locker è in grado di infliggere danni di massa, che spesso costano milioni alle vittime per il recupero. Ecco perché le misure convenzionali relative al mantenimento di backup offline, soluzioni AV aggiornate, hotstpot Wi-Fi e VPN sicuri e strumenti di autenticazione della password a più fattori dovrebbero rimanere di fondamentale importanza sia per le grandi organizzazioni che per le piccole imprese.

Caricamento in corso...