Ragnar Locker ha finora preso di mira 52 organizzazioni con sede negli Stati Uniti, con la maggior parte delle vittime nei settori delle infrastrutture critiche, secondo quanto diffuso dall’FBI.
L’attacco alle infrastrutture critiche
Un recente avviso congiunto dell’FBI e della CISA fornisce dettagli tecnici su Ragnar Locker, inclusi IoC che le organizzazioni possono utilizzare per individuare e bloccare il ransomware all’interno dei loro sistemi.
- L’agenzia ha osservato 52 casi in 10 infrastrutture critiche che sono stati presi di mira da Ragnar Locker.
- Questi appartenevano a diversi settori critici tra cui produzione, servizi finanziari, energia, IT, governo e altri.
- I dettagli nell’avviso comprendono informazioni come gli indirizzi Bitcoin per raccogliere il riscatto e gli indirizzi e-mail degli operatori intercettati.
Maggiori dettagli sull’attacco
Gli operatori di ransomware interrompono i software di gestione remota come ConnectWise e Kaseya per eludere il rilevamento e garantire che gli amministratori, già all’interno del sistema, non interferiscano con il processo di distribuzione.
Nello specifico di Ragnar Locker, gli aggressori hanno iniziato a utilizzare il ransomware verso la fine di dicembre 2019 come un modo per attaccare le reti compromesse. Ragnar Locker è un ransomware che gira su Microsoft Windows. Prende di mira specificamente il software comunemente utilizzato dai fornitori di servizi gestiti per impedire che il loro attacco venga rilevato e fermato.
Dopo l’esecuzione, Ragnar Locker Ransomware crittografa i file e aggiunge l’estensione “.ragnar” e un numero di 8 cifre:
Mitigazione richiesta
L’FBI ha chiesto ai professionisti della sicurezza di condividere qualsiasi informazione correlata, come copie delle richieste di riscatto, tempistiche delle attività dannose, campioni di payload utile ed altri CIO con la Cyber Squad dell’FBI locale (per gli attacchi eseguiti in territorio US).
Si capisce dunque l’intento degli enti governativi americani, nei confronti di questo gruppo che sta diventando sempre più rilevante per le infrastrutture critiche, infatti questo comportamento può aiutare ad identificare gli aggressori dietro questo gruppo di ransomware, con il proseguo delle indagini.
