O FBI alerta que a atividade do Ransomware Ragnar Locker aumentará

A Divisão Cibernética do Federal Bureau of Investigation (FBI) dos EUA alertou os parceiros do setor privado sobre o aumento da atividade de ransomware Ragnar Locker após um ataque confirmado em abril de 2020.

O Flash Alert MU-000140-MW emitido ontem pelo FBI para parceiros é coordenado com o DHS-CISA e fornece aos profissionais de segurança e administradores de sistema indicadores de comprometimento para se proteger das ações maliciosas persistentes dessa gangue de ransomware.

"O FBI observou pela primeira vez o ransomware Ragnar Locker1 em abril de 2020, quando atores desconhecidos o usaram para criptografar os arquivos de uma grande empresa por um resgate de aproximadamente US$ 11 milhões e ameaçou liberar 10 TB de dados confidenciais da empresa.", FBI ele diz no TLP: piscando BRANCO aviso.

"Desde então, Ragnar Locker tem enfrentado uma lista crescente de vítimas, incluindo provedores de serviços em nuvem, empresas de comunicação, construção, viagens e software empresarial."

índice

  1. Táticas de Ragnar Locker
  2. Ataque de ransomware EDP

Táticas de Ragnar Locker

Os atores do Ragnar Locker implantarão manualmente cargas de ransomware para criptografar os sistemas das vítimas após uma fase de reconhecimento para ajudá-los a descobrir recursos de rede, backups corporativos e vários outros arquivos confidenciais a serem coletados para exfiltração de dados.

A gangue do ransomware também é conhecida por alterar frequentemente as técnicas de ofuscação de carga útil para evitar a detecção, além de usar algoritmos de empacotamento personalizados e criptografar os arquivos das vítimas de máquinas virtuais Windows XP implantadas em seus sistemas.

O malware Ragnar Locker também enumerará todos os serviços em execução para remover aqueles usados ​​por provedores de serviços gerenciados para gerenciar remotamente as redes de seus clientes.

Depois de passar pelos estágios de reconhecimento e pré-implantação, os atores do Ragnar Locker lançam um executável de ransomware altamente específico que adiciona uma extensão personalizada "RGNR_", onde é um hash do nome NETBIOS do computador.

Este ransomware inclui uma chave RSA-2048 integrada e também publicará notas de resgate personalizadas em sistemas criptografados.

As notas de resgate do Ragnar Locker incluem o nome da empresa da vítima, um link para o site Tor e o site de vazamento de dados onde a gangue do ransomware publica os dados da vítima.

Ataque de ransomware EDP

Embora o FBI não tenha fornecido mais informações sobre a grande empresa cujos sistemas foram criptografados em abril, os detalhes se encaixam perfeitamente com um ataque à gigante multinacional de energia Energias de Portugal (EDP).

A EDP é um dos maiores operadores europeus do setor energético com mais de 11.500 colaboradores e fornece energia a mais de 11 milhões de clientes em 19 países e 4 continentes.

Os invasores do Ragnar Locker conseguiram extrair aproximadamente 10 TB de informações comerciais confidenciais sobre faturamento, contratos, transações, clientes e parceiros.

Eles também roubaram uma exportação do banco de dados do gerenciador de senhas KeePass contendo logins, senhas, contas, URLs e notas de funcionários da EDP.

Um porta-voz da EDP disse à BleepingComputer que o ataque não teve impacto na infraestrutura crítica e no serviço de energia da empresa.

No ano passado, o FBI também emitiu avisos sobre o LockerGoga, MegaCortex, Maze, Netwalker e ProLock ransomware após um anúncio de serviço público sobre ataques de ransomware de alto impacto contra organizações públicas e privadas dos EUA desde outubro de 2019.

  • A Semana no Ransomware – 20 de novembro de 2020
  • Sentindo-se nostálgico? O Internet Archive agora emula jogos e animações em Flash. – Escreva um comentário sobre Geek

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Deixe uma resposta Cancelar resposta

Ir arriba