O FBI dos EUA está alertando os parceiros da indústria privada de uma onda de atividades de ransomware Ragnar Locker após um ataque confirmado a partir de abril de 2020.
O Fbi emitiu um alerta flash (MU-000140-MW) para alertar os parceiros da indústria privada sobre um aumento da atividade de ransomware Ragnar Locker após um ataque confirmado a partir de abril de 2020.
O alerta flash MU-000140-MW inclui indicadores de compromisso para detectar associados a esta gangue de ransomware.
“O FBI observou pela primeira vez Ragnar Locker1ransomware em abril de 2020, quando atores desconhecidos o usaram para criptografar os arquivos de uma grande empresa para um resgate de aproximadamente US$ 11 milhões e ameaçaram liberar 10 TB de dados confidenciais da empresa”, lê-se no alerta flash.
“Desde então, o Ragnar Locker tem sido implantado contra uma lista crescente de vítimas, incluindo provedores de serviços em nuvem, empresas de comunicação, construção, viagens e software corporativo. O FBI está fornecendo detalhes do ransomware Ragnar Locker para ajudar a entender o código e identificar a atividade.”
Os atores de ameaças por trás dos atores de ransomware Ragnar Locker primeiro obtêm acesso à rede de um alvo e, em seguida, realizam reconhecimento para localizar recursos de rede e backups na tentativa de exfiltrar dados confidenciais. Uma vez concluída a fase de reconhecimento,
os operadores implantam manualmente o ransomware e começam a criptografar os dados da vítima.
Os operadores por trás do ransomware Ragnar Locker estão frequentemente mudando as técnicas de ofuscação para evitar a detecção, eles também usaram VMProtect, UPX e algoritmos de embalagem personalizados para seu código malicioso.
Os operadores também usam para implantar o Ragnar Locker dentro de uma máquina virtual Windows XP personalizada no site de um alvo para evitar a detecção.
Ragnar Locker não criptografa o sistema é que se encontra como “Azerbaijão”, “Armênio”, “Bielorrusso”, “Cazaque”, “Quirguiz”, “Moldávio”, “Tajique”, “Russo”, “Turcomeno”, “Uzbeque”, “Ucraniano” ou “Georgiano”.
O relatório contém outros detalhes técnicos sobre o ransomware e fornece as seguintes recomendações para mitigar a ameaça:
- Atenuações recomendadas
- Backup de dados críticos offline.
- Certifique-se de que as cópias dos dados críticos estão na nuvem ou em um disco rígido externo ou dispositivo de armazenamento. Essas informações não devem ser acessíveis a partir da rede comprometida.
- Proteja seus backups e garanta que os dados não são acessíveis para modificação ou exclusão do sistema onde os dados residem.
- Instale e atualize regularmente o software antivírus ou anti-malware em todos os hosts.
- Use apenas redes seguras e evite usar redes Wi-Fi públicas.
- Considere instalar e usar uma VPN.
- Use autenticação multifatorial com senhas fortes.
- Mantenha computadores, dispositivos e aplicativos corrigidos e atualizados.
FONTE: SECURITY AFFAIRS