FBI Alerta sobre Atividade Renovada do Ragnar Locker Ransomware
O FBI emitiu um novo alerta instantâneo sobre novas instâncias de infecções do Ragnar Locker Ransomware. O alerta (MU-000140-MW) chega aproximadamente sete meses após o primeiro ataque do Ragnar Locker e visa ajudar as empresas a se protegerem contra a ameaça persistente que tem atormentado empresas em todo o espectro econômico desde abril de 2020.
Índice
Visão Geral da Infecção
Para atingir seu objetivo, o agnar Locker deve encontrar seu caminho para a rede do alvo e examinar os dados nela contidos.
Observação! Antes do Ragnar Locker entrar em ação, ele verifica a localidade do sistema da vítima por meio da função GetLocaleInfoW da API do Windows. Se a vítima estiver localizada no Azerbaijão, Armênia, Bielo-Rússia, Cazaquistão, Quirguistão, Moldávia, Tadjiquistão, Rússia, Turcomenistão, Uzbequistão, Ucrânia ou Geórgia, Ragnar Locker interrompe o processo de infecção e não vai adiante. Aparentemente, os usuários de PC que residem em qualquer um desses países estão atualmente isentos de ataques pelo Ragnar Locker.
Caso contrário, o Ragnar Locker utilizará UPX, VMProtect, bem como uma série de compactadores executáveis personalizados alternativos para armazenar o ransomware em um computador virtual com Windows XP e realizar seus ataques remotos. Ao examinar a rede-alvo, o Ragnar Locker verifica se há outras infecções de malware em andamento que já possam ter ocorrido. Depois de reunir todos os detalhes de rede necessários, o Ragnar Locker atribui um ID exclusivo à rede alvo e dá letras a todas as unidades externas não mapeadas.
Uma Abordagem Seletiva
Em vez de bloquear as operações normais dentro da rede comprometida, o Ragnar Locker deixa os arquivos do sistema e as ferramentas de navegação na web intactos para permitir que o processo de criptografia real seja executado em segundo plano. No entanto, o ransomware bloqueia as ferramentas de acesso remoto para evitar que os administradores de rede interceptem o ataque.
Credenciais
Os criminosos que utilizam o Ragnar Locker aplicam várias ferramentas de ofuscação de código para manter o ransomware indefinido. Além disso, eles nomeiam a carga útil usada em cada ataque após o nome NETBIOS do alvo. o último é anexado ao lado da extensão .RGNR da carga útil (.RGNR_).
Não Deixando Pedra sobre Pedra
Esta Semana no Episódio de Malware 33 Parte 2: Os Produtores da Bebida Campari e a Companhia de Jogos Capcom Sofrem Ataques do RagnarLocker Ransomware
Uma vez que o Ragnar Locker inicia a criptografia, ele afeta cada unidade lógica designada na rede. Além disso, ele também apaga as cópias de backup criadas pelo Serviço de cópias de sombra de volume aplicando os comandos >vssadmin delete shadow/all/quiet e >wmic.exe.shadowcopy.delete. A infecção termina com a nota de resgate - um documento apelidado de RAGNAR_LOCKER.txt - contendo o pagamento do resgate e outras instruções.
Medidas Preventivas
Semelhante a qualquer outro ataque de ransomware, o Ragnar Locker é capaz de infligir danos em massa, muitas vezes custando às vítimas milhões para se recuperar. É por isso que as medidas convencionais relacionadas à manutenção de backups offline, soluções AV atualizadas, hotstpots e VPNs Wi-Fi seguros e ferramentas de autenticação de senha multifatorial devem permanecer de suma importância para grandes organizações e pequenas empresas.