O FBI publicou um novo alerta FLASH em 7 de março de 2022, avisando que a família de ransomware RagnarLocker comprometeu pelo menos 52 organizações em 10 sectores de infra-estruturas críticas, incluindo os sectores críticos da indústria transformadora, energia, serviços financeiros, governo e tecnologias da informação.
De acordo com o Identity Theft Resource Center, os ataques de ransomware duplicaram em 2020 e duplicaram novamente em 2021. Mas uma coisa que é interessante sobre a família de ransomware RagnarLocker é que ela existe desde 2019, persistindo como uma ameaça, mesmo quando outras famílias de ransomware, como Maze, DarkSide, REvil e BlackMatter, se aposentaram ou foram presas.
De facto, o FBI publicou pela primeira vez um alerta FLASH sobre a família de ransomware RagnarLocker em 19 de novembro de 2020. Nesse alerta, o FBI avisou que o RagnarLocker tinha como alvo provedores de serviços em nuvem, empresas de comunicação, construção, viagens e software empresarial.
Uma abordagem pouco comum à ofuscação
O RagnarLocker tem várias características incomuns a serem observadas. Em primeiro lugar, encerra o seu processo se detetar que a localização da máquina se encontra num dos vários países da Europa de Leste, incluindo a Rússia e a Ucrânia, o que sugere que a atribuição do grupo de ataque (ou ator da ameaça) é a um destes países (como tantas outras famílias de ransomware russo).
O aspeto mais exclusivo do RagnarLocker é a forma como evita a deteção, encriptando ficheiros com precisão cirúrgica em vez de indiscriminadamente. O RagnarLocker inicia este processo terminando as ligações dos fornecedores de serviços geridos, criando uma cobertura a partir da qual pode operar sem ser descoberto. Em seguida, o RagnarLocker elimina silenciosamente as Cópias de Sombra de Volume para impedir a recuperação de ficheiros encriptados. Finalmente, o RagnaLocker encripta seletivamente os ficheiros, evitando ficheiros e pastas que são críticos para o funcionamento do sistema, tais como .exe, .dll, Windows e Firefox (entre outros browsers) - esta abordagem evita levantar qualquer suspeita até que o ataque esteja completo.
Embora o alerta FLASH não o mencione, existem alguns outros aspectos do RagnarLocker que foram relatados nos meios de comunicação e que também são interessantes. De acordo com a Bleeping Computer, o RagnarLocker emitiu avisos de que divulgará os dados roubados se as suas vítimas contactarem o FBI. E de acordo com a SC Magazine, o RagnarLocker demonstrou que pode observar salas de chat de resposta a incidentes. Entretanto, o alerta FLASH do FBI avisa que as organizações não devem pagar um resgate a criminosos, pois isso pode encorajá-los a visar outras organizações.
Parece que a melhor abordagem para uma situação tão complexa é evitar ser resgatado em primeiro lugar.
Uma longa lista de IOCs
Embora a Rússia tenha efectuado algumas detenções performativas de famílias de ransomware no final de 2021, é improvável que este tipo de cooperação continue devido ao conflito em curso entre a Rússia e a Ucrânia. Independentemente disso, parece que a rede está se fechando em torno do RagnarLocker, já que alguns dos IOCs que o FBI produziu são bastante reveladores - em particular, existem várias variações de um endereço de e-mail contendo o nome "Alexey Berdin".
Embora ambos os alertas FLASH descrevam as técnicas de ofuscação do RagnarLocker, é interessante observar quanta informação foi recolhida sobre os indicadores de comprometimento (IOCs) entre novembro de 2020 e março de 2022. Para além de mais de uma dúzia de endereços de correio eletrónico, o FBI também publicou três endereços de carteiras de bitcoin e mais de 30 endereços IP relacionados com servidores de comando e controlo (C2) e exfiltração de dados.
O FBI está a pedir a todas as organizações afectadas que forneçam mais IOCs, incluindo IPs e executáveis maliciosos.
Infra-estruturas críticas na mira
Para a maioria dos fornecedores de infra-estruturas críticas, o RagnarLocker é a mais recente lembrança de uma ladainha de ataques de ransomware, como o Colonial Pipeline, o JBS meatpacking e o Kaseya. Felizmente, OPSWAT é um líder na proteção de infra-estruturas críticas.
A proteção das infra-estruturas críticas é um desafio devido à complexidade entre as integrações IT/OT e os sistemas SCADA antigos, à dificuldade de obter visibilidade dos activos críticos e à escassez de competências em matéria de cibersegurança, que é ainda mais acentuada no sector das infra-estruturas críticas.
O RagnarLocker não é a primeira, a última ou a única família de ransomware a visar os sectores das infra-estruturas críticas, pelo que é imperativo que estas organizações de infra-estruturas críticas se mantenham vigilantes contra esta ameaça. Descarregue o OPSWAT's Guide to Critical Infrastructure Protection para saber como preparar a sua organização hoje mesmo.
