Le FBI met en garde contre le renouvellement de l'activité du ransomware Ragnar Locker
Le FBI a émis une nouvelle alerte flash sur les nouvelles instances d'infections du ransomware Ragnar Locker. L'alerte (MU-000140-MW) intervient environ sept mois après la première attaque de Ragnar Locker il y a sept mois et vise à aider les entreprises à se protéger contre la menace persistante qui sévit dans l'ensemble du spectre économique depuis avril 2020.
Table des matières
Aperçu de l’infection
Pour atteindre son objectif, Ragnar Locker doit trouver son chemin vers le réseau de la cible et examiner les données qu'il contient.
Remarque! Avant que Ragnar Locker n'entre en action, il vérifie les paramètres régionaux du système de la victime via la fonction GetLocaleInfoW de l'API Windows. Si la victime se trouve en Azerbaïdjan, en Arménie, en Biélorussie, au Kazakhstan, au Kirghizistan, en Moldavie, au Tadjikistan, en Russie, au Turkménistan, en Ouzbékistan, en Ukraine ou en Géorgie, Ragnar Locker arrête le processus d'infection et ne va pas plus loin. Apparemment, les utilisateurs de PC résidant dans l'un de ces pays sont actuellement exemptés des attaques de Ragnar Locker.
Sinon, Ragnar Locker utilisera UPX, VMProtect, ainsi qu'une série de packers exécutables personnalisés alternatifs pour stocker le ransomware dans un ordinateur virtuel Windows XP et mener leurs attaques à distance. Tout en examinant le réseau ciblé, Ragnar Locker recherche toute autre infection par des logiciels malveillants en cours qui peut déjà avoir commencé. Après avoir rassemblé tous les détails du réseau nécessaires, Ragnar Locker attribue un identifiant unique au réseau ciblé et donne des lettres à tous les lecteurs externes non mappés.
Une approche sélective
Plutôt que de bloquer les opérations normales au sein du réseau compromis, Ragnar Locker laisse les fichiers système et les outils de navigation Web intacts pour permettre au processus de cryptage réel de s'exécuter en arrière-plan. Cependant, le ransomware bloque les outils d'accès à distance pour empêcher les administrateurs réseau d'intercepter l'attaque.
Identifiants
Les escrocs utilisant Ragnar Locker appliquent divers outils d'obfuscation de code pour garder le ransomware insaisissable. De plus, ils nomment la charge utile utilisée dans chaque attaque après le nom NETBIOS de la cible. ce dernier est ajouté juste à côté de l'extension .RGNR de la charge utile (.RGNR_).
Ne laisser aucune pierre non retournée
Cette semaine dans l'épisode 33 de Malware, partie 2: Campari Beverage Maker et Capcom Gaming Company subissent les attaques de RagnarLocker Ransomware
Une fois que Ragnar Locker démarre le chiffrement, il affecte chaque lecteur logique désigné au sein du réseau. De plus, il s'assure également d'effacer les copies de sauvegarde créées par le service de cliché instantané de volume en appliquant à la fois les commandes > vssadmin delete shadows / all / quiet et > wmic.exe.shadowcopy.delete. L'infection se termine par la note de rançon - un document appelé RAGNAR_LOCKER.txt - contenant le paiement de la rançon et d'autres instructions.
Mesures préventives
Semblable à toute autre attaque de ransomware, Ragnar Locker est capable d'infliger des dégâts massifs, coûtant souvent des millions aux victimes à récupérer. C'est pourquoi, les mesures conventionnelles liées à la conservation des sauvegardes hors ligne, des solutions audiovisuelles à jour, des hotstpots et VPN Wi-Fi sécurisés et des outils d'authentification par mot de passe multifactoriels devraient rester d'une importance capitale pour les grandes organisations et les petites entreprises.