L'FBI ha pubblicato un nuovo allarme FLASH il 7 marzo 2022, avvertendo che la famiglia di ransomware RagnarLocker ha compromesso almeno 52 organizzazioni in 10 settori di infrastrutture critiche, tra cui i settori manifatturiero, energetico, dei servizi finanziari, governativo e informatico.
Secondo l'Identity Theft Resource Center, gli attacchi ransomware sono raddoppiati nel 2020 e ancora nel 2021. Una cosa interessante della famiglia di ransomware RagnarLocker è che è in circolazione dal 2019 e continua a rappresentare una minaccia anche quando altre famiglie di ransomware come Maze, DarkSide, REvil e BlackMatter si sono ritirate o sono state arrestate.
Infatti, l'FBI ha pubblicato per la prima volta un avviso FLASH sulla famiglia di ransomware RagnarLocker il 19 novembre 2020. In quell'allerta, l'FBI avvertiva che RagnarLocker prendeva di mira fornitori di servizi cloud, aziende di comunicazione, edilizia, viaggi e software aziendali.
Un approccio insolito all'offuscamento
RagnarLocker presenta diverse caratteristiche insolite da notare. In primo luogo, termina il processo se rileva che il computer si trova in uno dei diversi Paesi dell'Europa orientale, tra cui Russia e Ucraina, suggerendo che il gruppo di attacco (o l'attore della minaccia) sia attribuito a uno di questi Paesi (come molte altre famiglie di ransomware russi).
L'aspetto più singolare di RagnarLocker è il modo in cui elude il rilevamento criptando i file con precisione chirurgica anziché in modo indiscriminato. RagnarLocker inizia questo processo interrompendo le connessioni dei provider di servizi gestiti, creando un velo da cui può operare senza essere scoperto. Successivamente, RagnarLocker elimina silenziosamente le copie d'ombra dei volumi per impedire il recupero dei file crittografati. Infine, RagnaLocker cripta selettivamente i file, evitando i file e le cartelle critici per il funzionamento del sistema, come .exe, .dll., Windows e Firefox (tra gli altri browser) - questo approccio evita di destare qualsiasi sospetto fino al completamento dell'attacco.
Sebbene l'avviso di FLASH non ne faccia menzione, ci sono alcuni altri aspetti di RagnarLocker che sono stati riportati dai media e che sono altrettanto interessanti. Secondo Bleeping Computer, RagnarLocker ha lanciato avvertimenti sulla fuga dei dati rubati se le vittime si rivolgono all'FBI. Secondo SC Magazine, RagnarLocker ha dimostrato di poter osservare le chat di risposta agli incidenti. Nel frattempo, l'avviso FLASH dell'FBI avverte che le organizzazioni non dovrebbero pagare un riscatto agli attori criminali, in quanto ciò potrebbe incoraggiarli a prendere di mira altre organizzazioni.
Sembra che l'approccio migliore a una situazione così complessa sia quello di evitare di essere riscattati.
Un lungo elenco di CIO
Mentre la Russia si è impegnata in alcuni arresti performativi di famiglie di ransomware verso la fine del 2021, è improbabile che questo tipo di cooperazione continui dato il conflitto in corso tra Russia e Ucraina. Ad ogni modo, sembra che la rete si stia stringendo intorno a RagnarLocker, poiché alcuni dei CIO prodotti dall'FBI sono piuttosto rivelatori: in particolare, ci sono diverse varianti di un indirizzo e-mail contenente il nome "Alexey Berdin".
Anche se entrambi gli avvisi FLASH descrivono le tecniche di offuscamento di RagnarLocker, è interessante osservare quante informazioni sono state raccolte sugli indicatori di compromissione (IOC) tra novembre 2020 e marzo 2022. Oltre a più di una dozzina di indirizzi e-mail, l'FBI ha pubblicato anche tre indirizzi di portafogli bitcoin e più di 30 indirizzi IP relativi a server di comando e controllo (C2) e all'esfiltrazione di dati.
L'FBI chiede alle organizzazioni colpite di farsi avanti con ulteriori CIO, compresi IP ed eseguibili dannosi.
Infrastrutture critiche nel mirino
Per la maggior parte dei fornitori di infrastrutture critiche, RagnarLocker è il ricordo più recente di una litania di attacchi ransomware, come Colonial Pipeline, JBS meatpacking e Kaseya. Fortunatamente, OPSWAT è un leader nella protezione delle infrastrutture critiche.
La protezione delle infrastrutture critiche è un'impresa ardua a causa della complessità delle integrazioni IT/OT e dei sistemi SCADA legacy, della difficoltà di ottenere visibilità sugli asset critici e della carenza di competenze in materia di cybersecurity, ancora più marcata nel settore delle infrastrutture critiche.
RagnarLocker non è la prima, l'ultima o l'unica famiglia di ransomware a colpire i settori delle infrastrutture critiche, per cui è indispensabile che queste organizzazioni rimangano vigili contro questa minaccia. Scaricate la Guida alla protezione delle infrastrutture critiche di OPSWATper scoprire come preparare la vostra organizzazione oggi stesso.
