FBI waarschuwt voor vernieuwde Ragnar Locker Ransomware-activiteit
De FBI heeft een nieuwe flitswaarschuwing afgegeven over nieuwe gevallen van Ragnar Locker ransomware- infecties. De waarschuwing (MU-000140-MW) komt ongeveer zeven maanden na de eerste Ragnar Locker-aanval zeven maanden geleden en is bedoeld om bedrijven te helpen zichzelf te beschermen tegen de aanhoudende dreiging die bedrijven in het hele economische spectrum sinds april 2020 heeft geteisterd.
Inhoudsopgave
Infectieoverzicht
Om zijn doel te bereiken, moet Ragnar Locker zijn weg vinden naar het netwerk van het doelwit en de gegevens daarin onderzoeken.
Notitie! Voordat Ragnar Locker in actie komt, controleert het de systeemlocatie van het slachtoffer via de Windows API GetLocaleInfoW-functie. Als blijkt dat het slachtoffer zich in Azerbeidzjan, Armenië, Wit-Rusland, Kazachstan, Kirgizië, Moldavië, Tadzjikistan, Rusland, Turkmenistan, Oezbekistan, Oekraïne of Georgië, bevindt, stopt Ragnar Locker het infectieproces en gaat niet verder. Blijkbaar zijn pc-gebruikers die in een van die landen wonen momenteel vrijgesteld van Ragnar Locker-aanvallen.
Anders gebruikt Ragnar Locker UPX, VMProtect, evenals een reeks alternatieve aangepaste uitvoerbare packers om de ransomware op een virtuele Windows XP-computer op te slaan en hun externe aanvallen uit te voeren. Tijdens het onderzoeken van het beoogde netwerk, controleert Ragnar Locker op andere lopende malware-infecties die mogelijk al op gang zijn gekomen. Na het verzamelen van alle benodigde netwerkdetails, wijst Ragnar Locker een unieke ID toe aan het beoogde netwerk en geeft letters aan alle niet-toegewezen externe schijven.
Een selectieve aanpak
In plaats van de normale bewerkingen binnen het gecompromitteerde netwerk te blokkeren, laat Ragnar Locker systeembestanden en websurftools intact om het eigenlijke coderingsproces op de achtergrond te laten draaien. De ransomware blokkeert echter tools voor externe toegang om te voorkomen dat netwerkbeheerders de aanval onderscheppen.
Inloggegevens
De boeven die Ragnar Locker gebruiken, passen verschillende code-obfuscation-tools toe om de ransomware ongrijpbaar te houden. Bovendien noemen ze de payload die bij elke aanval wordt gebruikt, naar de NETBIOS-naam van het doelwit. de laatste wordt direct naast de .RGNR-extensie (.RGNR_) van de payload toegevoegd.
Geen steen onomkeerbaar laten
Deze week in Malware Aflevering 33 Deel 2: Campari Beverage Maker & Capcom Gaming Company lijden aan RagnarLocker Ransomware-aanvallen
Zodra Ragnar Locker de codering start, heeft dit invloed op elke aangewezen logische schijf binnen het netwerk. Bovendien zorgt het ervoor dat de back- upkopieën die door de Volume Shadow Copy Service zijn gemaakt, worden gewist door zowel de opdrachten > vssadmin delete shadows / all / quiet als > wmic.exe.shadowcopy.delete toe te passen. De infectie eindigt met de losgeldbrief - een document genaamd RAGNAR_LOCKER.txt - met de betaling van losgeld en andere instructies.
Preventieve maatregelen
Net als elke andere ransomwareaanval, kan Ragnar Locker massale schade aanrichten, wat slachtoffers vaak miljoenen kost om te herstellen. Dat is de reden waarom de conventionele maatregelen met betrekking tot het houden van offline back-ups, up-to-date AV-oplossingen, veilige Wi-Fi-hotstpots en VPN's, en multi-factor-wachtwoordauthenticatietools van het grootste belang moeten blijven voor zowel grote organisaties als kleine bedrijven.