觀點

什麼是 RagnarLocker?FBI 發布舊勒索軟體家族的新警報

2022 / 04 / 18
投稿文/ OPSWAT
什麼是 RagnarLocker?FBI 發布舊勒索軟體家族的新警報
FBI 於 2022 年 3 月 7 日發布了新的FLASH 警報,警告說 RagnarLocker 勒索軟體系列已經破壞了 10 個關鍵基礎設施部門的至少 52 個組織,包括製造、能源、金融服務、政府和資訊技術部門。
 
根據身份盜竊資源中心的數據,勒索軟體攻擊的數量在 2020 年翻倍成長,並在 2021 年再次翻倍。RagnarLocker 勒索軟體有趣的地方在於,自 2019 年以來它就一直是既存的網路威脅,即使它與其他勒索軟體一樣,如 Maze、DarkSide、REvil 和 BlackMatter,曾經消退或被捕。但事實上,FBI是於 2020 年 11 月 19 日首次發布了關於 RagnarLocker 勒索軟體的 FLASH 警報。在該警報中,FBI 曾警告說 RagnarLocker 的目標是雲服務供應商、電信、建築、旅遊和企業軟體開發公司。

一種不常見的混淆方法

RagnarLocker 有幾個不常見的特性需要注意。首先,如果它檢測到機器的位置位於俄羅斯和烏克蘭在內的幾個東歐國家之一,它就會終止其進程。這表明攻擊組(或威脅參與者)歸屬於這些國家之一(就像許多其他俄羅斯勒索軟體)。
 
RagnarLocker 最獨特的地方是它如何透過精密的技巧而不是不加選擇地加密文件來逃避檢測。RagnarLocker 透過終止託管服務提供者的連接來開始這個過程,創造一個它可以在不被發現的情況下運行的護罩。接下來,RagnarLocker 會悄悄的刪除陰影複製(Volume Shadow Copies) 以防止恢復加密文件。最後,RagnaLocker 會選擇性地加密文件,不對特定的資料和資料夾進行加密,例如 .exe、.dll.、Windows 和 Firefox(以及其他瀏覽器)因為這些會對系統操作造成影響,而這種方法也能避免在攻擊完成之前引起任何懷疑,讓電腦仍可正常執行而不被發現。
 
雖然 FLASH 警報沒有提及,但媒體所報導的 RagnarLocker 其他面向也很有趣。據Bleeping Computer報導,RagnarLocker 發出警告聲稱說,如果受害者接近 FBI,它將洩露被盜數據。據SC 雜誌報導,RagnarLocker 更證明它有能力看到組織內資安事件應變中心的對話內容。同時,FBI FLASH 警報也建議組織不應該向犯罪分子支付贖金,因為這可能會鼓勵他們針對其他組織進行攻擊。
 
對於這種複雜情況,最好的方法似乎是從一開始就避免被勒索。

一長串的入侵指標

雖然俄羅斯在 2021 年底之前對勒索軟體家族進行了一些逮捕行動,但鑑於俄羅斯和烏克蘭之間衝突不斷,這項任務應該不會再繼續進行。但無論如何,RagnarLocker的網路布局似乎已逐漸縮小,因為 FBI 公布的一些入侵指標(IOCs) 非常具有揭露性 - 特別是有項提及了包含“Alexey Berdin”名稱的電子郵件地址的幾種變體。
 
儘管兩個 FLASH 警報都描述了 RagnarLocker 的混淆技術,但更有趣的是,在警報內也提供了許多有關入侵指標 (IOCs) 的情報。除了十幾個電子郵件地址之外,FBI 還發布了 3 個比特幣錢包地址,以及 30 多個與命令和控制(C2)服務器和數據洩露相關的 IP 地址。
 
FBI 也督促任何受影響的組織應主動提供額外的入侵指標 (IOCs),包括惡意 IP 和可執行文件,以避免其他組織受害。

被惡意軟體鎖定的關鍵基礎設施

對於大多數關鍵基礎設施供應商而言,RagnarLocker 是一系列勒索軟體攻擊中的最新威脅,相對於 Colonial Pipeline、JBS meatpacking和 Kaseya的攻擊事件。
 
IT/OT 的整合與傳統 SCADA 系統之間的複雜性對關鍵資產的能見度帶來了困難,也因為市場上擁有網路安全技能的人才短缺導致保護關鍵基礎設施這項任務更具備挑戰性。
 
RagnarLocker 不是第一個、最後一個或唯一一個針對關鍵基礎設施部門的勒索軟體,因此這些關鍵基礎設施組織必須對這種威脅保持警惕。您可以下載 OPSWAT 的關鍵基礎設施保護指南來了解如何為您的組織做好準備。

本文為投稿文章,不代表社方立場。