歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
什麼是 RagnarLocker?FBI 發布舊勒索軟體家族的新警報
2022 / 04 / 18
投稿文/ OPSWAT
FBI 於 2022 年 3 月 7 日發布了新的FLASH 警報,警告說 RagnarLocker 勒索軟體系列已經破壞了 10 個關鍵基礎設施部門的至少 52 個組織,包括製造、能源、金融服務、政府和資訊技術部門。
根據身份盜竊資源中心的數據,勒索軟體攻擊的數量在 2020 年翻倍成長,並在 2021 年再次翻倍。RagnarLocker 勒索軟體有趣的地方在於,自 2019 年以來它就一直是既存的網路威脅,即使它與其他勒索軟體一樣,如 Maze、DarkSide、REvil 和 BlackMatter,曾經消退或被捕。但事實上,FBI是於 2020 年 11 月 19 日首次發布了關於 RagnarLocker 勒索軟體的 FLASH 警報。在該警報中,FBI 曾警告說 RagnarLocker 的目標是雲服務供應商、電信、建築、旅遊和企業軟體開發公司。
一種不常見的混淆方法
RagnarLocker 有幾個不常見的特性需要注意。首先,如果它檢測到機器的位置位於俄羅斯和烏克蘭在內的幾個東歐國家之一,它就會終止其進程。這表明攻擊組(或威脅參與者)歸屬於這些國家之一(就像許多其他俄羅斯勒索軟體)。
RagnarLocker 最獨特的地方是它如何透過精密的技巧而不是不加選擇地加密文件來逃避檢測。RagnarLocker 透過終止託管服務提供者的連接來開始這個過程,創造一個它可以在不被發現的情況下運行的護罩。接下來,RagnarLocker 會悄悄的刪除陰影複製(Volume Shadow Copies) 以防止恢復加密文件。最後,RagnaLocker 會選擇性地加密文件,不對特定的資料和資料夾進行加密,例如 .exe、.dll.、Windows 和 Firefox(以及其他瀏覽器)因為這些會對系統操作造成影響,而這種方法也能避免在攻擊完成之前引起任何懷疑,讓電腦仍可正常執行而不被發現。
雖然 FLASH 警報沒有提及,但媒體所報導的 RagnarLocker 其他面向也很有趣。據Bleeping Computer報導,RagnarLocker 發出警告聲稱說,如果受害者接近 FBI,它將洩露被盜數據。據SC 雜誌報導,RagnarLocker 更證明它有能力看到組織內資安事件應變中心的對話內容。同時,FBI FLASH 警報也建議組織不應該向犯罪分子支付贖金,因為這可能會鼓勵他們針對其他組織進行攻擊。
對於這種複雜情況,最好的方法似乎是從一開始就避免被勒索。
一長串的入侵指標
雖然俄羅斯在 2021 年底之前對勒索軟體家族進行了一些逮捕行動,但鑑於俄羅斯和烏克蘭之間衝突不斷,這項任務應該不會再繼續進行。但無論如何,RagnarLocker的網路布局似乎已逐漸縮小,因為 FBI 公布的一些入侵指標(IOCs) 非常具有揭露性 - 特別是有項提及了包含“Alexey Berdin”名稱的電子郵件地址的幾種變體。
儘管兩個 FLASH 警報都描述了 RagnarLocker 的混淆技術,但更有趣的是,在警報內也提供了許多有關入侵指標 (IOCs) 的情報。除了十幾個電子郵件地址之外,FBI 還發布了 3 個比特幣錢包地址,以及 30 多個與命令和控制(C2)服務器和數據洩露相關的 IP 地址。
FBI 也督促任何受影響的組織應主動提供額外的入侵指標 (IOCs),包括惡意 IP 和可執行文件,以避免其他組織受害。
被惡意軟體鎖定的關鍵基礎設施
對於大多數關鍵基礎設施供應商而言,RagnarLocker 是一系列勒索軟體攻擊中的最新威脅,相對於 Colonial Pipeline、JBS meatpacking和 Kaseya的攻擊事件。
IT/OT 的整合與傳統 SCADA 系統之間的複雜性對關鍵資產的能見度帶來了困難,也因為市場上擁有網路安全技能的人才短缺導致保護關鍵基礎設施這項任務更具備挑戰性。
RagnarLocker 不是第一個、最後一個或唯一一個針對關鍵基礎設施部門的勒索軟體,因此這些關鍵基礎設施組織必須對這種威脅保持警惕。您可以下載 OPSWAT 的關鍵基礎設施保護指南來了解如何為您的組織做好準備。
本文為投稿文章,不代表社方立場。
FBI
RagnarLocker
勒索軟體
關鍵基礎設施
雲服務
IoC
Colonial Pipeline
JBS meatpacking
Kaseya
SCADA
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
資安人科技網
文章推薦
Winos4.0透過遊戲應用程式傳播發起威脅活動
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
Palo Alto Networks 預測 2025 年資安趨勢:平台整合與AI防禦成關鍵