FBIs Cyber enhed har advaret deres vigtigste industripartnere om øget aktivitet for hacker-ransomware “Ragnar Locker”.

Flash-nyheden med koden “MU-000140-MW”, som FBI udsendte i sidste uge, blev koordineret med DHS-CISA. Sikkerhedsfagfolk og systemadministratorer hermed mulighed for at intensivere intern beskyttelse mod handlinger fra ransomware-banderne.

FBI observerede først Ragnar Locker1 ransomware i april 2020, da ukendte aktører brugte den til at kryptere et stort selskabs filer til en løsesum på ca. 11 millioner dollars og truede med at frigive 10 TB følsomme virksomhedsdata.

Ragnar Locker er derefter blevet brugt mod flere og flere, herunder cloud-tjenesteudbydere, kommunikations-, byggeri-, rejse- og enterprise-softwarevirksomheder.

Ragnar Locker

Ragnar Locker distribueres manuelt til ofrenes systemer.

Ransomware-banden er også kendt for ofte at skifte slørings-teknikker for at undgå afsløring samt for at have brugt brugerdefinerede pakkealgoritmer og kryptere ofrenes filer fra Windows XP-virtuelle maskiner.

Ragnar Lockers malware viser alle kørende tjenester, så de kan slukkes. Dette er hovedsageligt for at slukke for admin-styring på klientens netværk.

Efter at have gennemgået rekognoscerings- og præinstallationsfaser, slipper Ragnar Locker-en meget målrettet ransomware-eksekverbar fil, der tilføjer en brugerdefineret “RGNR_” -udvidelse, hvor der er en hash af computerens NETBIOS-navn.

Denne ransomware har en indbygget RSA-2048-nøgle. Den vil efterlade brugerdefinerede løsesumnoter på de krypterede systemer (se billedet ovenfor).

Ragnar Locker-løsepenge noter inkluderer offerets firmanavn, et link til Tor-webstedet og datalækwebstedet, hvor ransomware-banden vil offentliggøre offerets data.

Tilgangen passer perfekt på et angreb mod den multinationale energigigant Energias de Portugal (EDP).

EDP ​​er en af ​​de største europæiske energisektoroperatører med over 11.500 ansatte og leverer energi til mere end 11 millioner kunder i 19 lande på 4 kontinenter.

Ragnar Locker-angriberne var i stand til at hente cirka 10 TB fortrolige virksomhedsoplysninger om fakturering, kontrakter, transaktioner, klienter og partnere.

De stjal også en adgangskodeadministrator-databaseeksport fra KeePass, med EDP-medarbejderes loginnavne, adgangskoder, konti, URL’er og noter.

En talsmand for EDP fortalte BleepingComputer, at angrebet ikke havde nogen indvirkning på virksomhedens kritiske infrastruktur og strømforsyningstjeneste.

I løbet af det sidste års tid, har FBI også udsendt advarsler om LockerGoga, MegaCortex, Maze, Netwalker og ProLock ransomware efter en offentlig service-meddelelse om ransomware-angreb med høj effekt mod offentlige og private organisationer.

Hold dig opdateret hos os

Ansnei – Passer på Dig !