El FBI advierte que aumentará la actividad del ransomware Ragnar Locker


El FBI advierte que aumentará la actividad del ransomware Ragnar Locker

La División Cibernética de la Oficina Federal de Investigaciones (FBI) de EE. UU. Advirtió a los socios del sector privado sobre el aumento de la actividad del ransomware Ragnar Locker luego de un ataque confirmado de abril de 2020.

La alerta flash MU-000140-MW emitida ayer por el FBI a los socios se coordinó con DHS-CISA y proporciona a los profesionales de seguridad y administradores de sistemas indicadores de compromiso para protegerse de las acciones maliciosas persistentes de esta banda de ransomware.

"El FBI observó por primera vez Ragnar Locker1ransomware en abril de 2020, cuando actores desconocidos lo usaron para cifrar los archivos de una gran empresa por un rescate de aproximadamente $ 11 millones y amenazaron con liberar 10 TB de datos confidenciales de la empresa. ", el FBI Él dice en TLP: advertencia BLANCA intermitente.

"Desde entonces, Ragnar Locker se ha enfrentado a una creciente lista de víctimas, incluidos proveedores de servicios en la nube, empresas de comunicaciones, construcción, viajes y software empresarial".

Índice()

    Tácticas de Ragnar Locker

    Los actores de Ragnar Locker implementarán manualmente cargas útiles de ransomware para cifrar los sistemas de las víctimas después de una fase de reconocimiento para ayudarlas a descubrir recursos de red, copias de seguridad corporativas y varios otros archivos confidenciales que se recopilarán para la exfiltración de datos.

    La banda de ransomware también es conocida por cambiar con frecuencia las técnicas de ofuscación de la carga útil para evadir la detección, así como por utilizar algoritmos de empaquetado personalizados y cifrar los archivos de las víctimas de las máquinas virtuales de Windows XP implementadas en sus sistemas.

    El malware Ragnar Locker también enumerará todos los servicios en ejecución para eliminar los utilizados por los proveedores de servicios administrados para administrar de forma remota las redes de sus clientes.

    Después de pasar por las etapas de reconocimiento y pre-implementación, los actores de Ragnar Locker lanzan un ejecutable de ransomware altamente específico que agrega una extensión personalizada "RGNR_" donde es un hash del nombre NETBIOS de la computadora.

    Este ransomware incluye una clave RSA-2048 incorporada y también publicará notas de rescate personalizadas en sistemas cifrados.

    Las notas de rescate de Ragnar Locker incluyen el nombre de la empresa de la víctima, un enlace al sitio Tor y el sitio de filtración de datos donde la banda de ransomware publicará los datos de la víctima.

    Ransomware Ragnar Locker

    Ataque de ransomware EDP

    Aunque el FBI no proporcionó más información sobre la gran empresa cuyos sistemas fueron encriptados en abril, los detalles coinciden perfectamente con un ataque al gigante energético multinacional Energias de Portugal (EDP).

    EDP ​​es uno de los mayores operadores europeos del sector energético con más de 11.500 empleados y suministra energía a más de 11 millones de clientes en 19 países y 4 continentes.

    Los atacantes de Ragnar Locker pudieron extraer aproximadamente 10 TB de información comercial confidencial sobre facturación, contratos, transacciones, clientes y socios.

    También robaron una exportación de la base de datos del administrador de contraseñas KeePass que contiene los inicios de sesión, contraseñas, cuentas, URL y notas de los empleados de EDP.

    Un portavoz de EDP le dijo a BleepingComputer que el ataque no tuvo ningún impacto en la infraestructura crítica y el servicio de energía de la empresa.

    Durante el año pasado, el FBI también emitió advertencias sobre el ransomware LockerGoga, MegaCortex, Maze, Netwalker y ProLock luego de un anuncio de servicio público sobre ataques de ransomware de alto impacto contra organizaciones públicas y privadas de EE. UU. Desde octubre de 2019.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir