FBI emitiu um alerta sobre a atividade de ransomware Ragnar Locker

Views: 403
0 0
Read Time:2 Minute, 15 Second

O FBI dos EUA está alertando os parceiros da indústria privada de uma onda de atividades de ransomware Ragnar Locker após um ataque confirmado a partir de abril de 2020.

O Fbi emitiu um alerta flash (MU-000140-MW) para alertar os parceiros da indústria privada sobre um aumento da atividade de ransomware Ragnar Locker após um ataque confirmado a partir de abril de 2020.

O alerta flash MU-000140-MW inclui indicadores de compromisso para detectar associados a esta gangue de ransomware.

“O FBI observou pela primeira vez Ragnar Locker1ransomware em abril de 2020, quando atores desconhecidos o usaram para criptografar os arquivos de uma grande empresa para um resgate de aproximadamente US$ 11 milhões e ameaçaram liberar 10 TB de dados confidenciais da empresa”, lê-se no alerta flash.

“Desde então, o Ragnar Locker tem sido implantado contra uma lista crescente de vítimas, incluindo provedores de serviços em nuvem, empresas de comunicação, construção, viagens e software corporativo. O FBI está fornecendo detalhes do ransomware Ragnar Locker para ajudar a entender o código e identificar a atividade.”

Os atores de ameaças por trás dos atores de ransomware Ragnar Locker primeiro obtêm acesso à rede de um alvo e, em seguida, realizam reconhecimento para localizar recursos de rede e backups na tentativa de exfiltrar dados confidenciais. Uma vez concluída a fase de reconhecimento,
os operadores implantam manualmente o ransomware e começam a criptografar os dados da vítima.

Os operadores por trás do ransomware Ragnar Locker estão frequentemente mudando as técnicas de ofuscação para evitar a detecção, eles também usaram VMProtect, UPX e algoritmos de embalagem personalizados para seu código malicioso.

Os operadores também usam para implantar o Ragnar Locker dentro de uma máquina virtual Windows XP personalizada no site de um alvo para evitar a detecção.

Ragnar Locker não criptografa o sistema é que se encontra como “Azerbaijão”, “Armênio”, “Bielorrusso”, “Cazaque”, “Quirguiz”, “Moldávio”, “Tajique”, “Russo”, “Turcomeno”, “Uzbeque”, “Ucraniano” ou “Georgiano”.

O relatório contém outros detalhes técnicos sobre o ransomware e fornece as seguintes recomendações para mitigar a ameaça:

  • Atenuações recomendadas
  • Backup de dados críticos offline.
  • Certifique-se de que as cópias dos dados críticos estão na nuvem ou em um disco rígido externo ou dispositivo de armazenamento. Essas informações não devem ser acessíveis a partir da rede comprometida.
  • Proteja seus backups e garanta que os dados não são acessíveis para modificação ou exclusão do sistema onde os dados residem.
  • Instale e atualize regularmente o software antivírus ou anti-malware em todos os hosts.
  • Use apenas redes seguras e evite usar redes Wi-Fi públicas.
  • Considere instalar e usar uma VPN.
  • Use autenticação multifatorial com senhas fortes.
  • Mantenha computadores, dispositivos e aplicativos corrigidos e atualizados.

FONTE: SECURITY AFFAIRS

POSTS RELACIONADOS