美国联邦调查局于 2022 年 3 月 7 日发布了新的FLASH 警报,警告称 RagnarLocker 勒索软件家族已经入侵了 10 个关键基础设施领域的至少 52 个组织,其中包括重要的制造业、能源、金融服务、政府和信息技术部门。
根据身份盗窃资源中心(Identity Theft Resource Center)的数据,勒索软件攻击在 2020 年翻了一番,在 2021 年又翻了一番。但关于 RagnarLocker 勒索软件家族,有一点很有意思,那就是它自 2019 年以来就一直存在,甚至在其他勒索软件家族(如 Maze、DarkSide、REvil 和 BlackMatter)已经退出或被捕的情况下,它仍然是一种威胁。
事实上,联邦调查局于 2020 年 11 月 19 日首次发布了有关 RagnarLocker 勒索软件家族的FLASH 警报。在该警报中,FBI 警告 RagnarLocker 的目标是云服务提供商、通信、建筑、旅游和企业软件公司。
不寻常的混淆方法
RagnarLocker 有几个不常见的特征值得注意。首先,如果它检测到机器位于俄罗斯和乌克兰等几个东欧国家之一,它就会终止进程,这表明攻击组(或威胁行为者)的归属地是这些国家之一(就像许多其他俄罗斯勒索软件家族一样)。
RagnarLocker 最独特的地方在于它如何通过外科手术式的精确加密而不是不分青红皂白地加密文件来逃避检测。RagnarLocker 通过终止与托管服务提供商的连接来开始这一过程,从而形成一块遮羞布,使其可以在不被发现的情况下运行。接下来,RagnarLocker 会悄悄删除卷影副本,以防止恢复加密文件。最后,RagnaLocker 会选择性地加密文件,避开对系统运行至关重要的文件和文件夹,如 .exe、.dll、Windows 和 Firefox(以及其他浏览器)--这种方法可以在攻击完成之前避免引起任何怀疑。
虽然 FLASH 警报没有提到这一点,但媒体报道的 RagnarLocker 的其他一些方面也很有趣。据Bleeping Computer 报道,RagnarLocker 已发出警告,如果受害者与 FBI 联系,它将泄露被盗数据。另据SC Magazine 报道,RagnarLocker 已证明它可以观察事件响应聊天室。与此同时,FBI FLASH 警报建议企业不要向犯罪分子支付赎金,因为这可能会使他们更加大胆地将目标转向其他企业。
在这种复杂的情况下,最好的办法似乎是首先避免被赎。
一长串增支经营成本
虽然俄罗斯在 2021 年年底对勒索软件家族实施了一些逮捕行动,但鉴于俄罗斯和乌克兰之间的冲突仍在持续,这种合作不太可能继续下去。无论如何,RagnarLocker 似乎正在被收网,因为联邦调查局提供的一些 IOCs 相当具有启发性--尤其是包含 "Alexey Berdin "的电子邮件地址有多种变体。
尽管这两个 FLASH 警报都描述了 RagnarLocker 的混淆技术,但观察 2020 年 11 月至 2022 年 3 月期间收集到的入侵指标 (IOC) 情报有多少还是很有趣的。除了十多个电子邮件地址外,联邦调查局还公布了三个比特币钱包地址,以及 30 多个与指挥和控制 (C2) 服务器和数据外渗相关的 IP 地址。
联邦调查局要求任何受影响的组织提供更多的 IOC,包括恶意 IP 和可执行文件。
处于风口浪尖的关键基础设施
对于大多数关键基础设施提供商来说,RagnarLocker 是一系列勒索软件攻击(如 Colonial Pipeline、JBS meatpacking 和 Kaseya)中的最新提醒。幸运的是,OPSWAT 是关键基础设施保护领域的领导者。
由于IT/OT 集成与传统 SCADA 系统之间的复杂性、难以获得关键资产的可见性以及网络安全技能的短缺,关键基础设施保护工作面临挑战,而关键基础设施领域的网络安全技能短缺问题更为突出。
RagnarLocker 并不是第一个、最后一个或唯一一个针对关键基础设施部门的勒索软件系列,因此这些关键基础设施组织必须对这一威胁保持警惕。下载OPSWAT的《关键基础设施保护指南》,了解如何立即为您的组织做好准备。
