近日,美国联邦调查局、网络安全和基础设施安全局联合发布了一份告警称,Ragnar Locker勒索组织正大规模攻击美国关键基础设施。截至2022年1月,FBI已经确定,在受攻击的10个关键基础设施中,至少有52个关键基础设施被入侵,涉及关键制造业、能源、金融服务、政府和信息技术领域等领域。
资料显示,RagnarLocker勒索软件首次出现在2019年12月底,2020年4月被FBI发现,并一直活跃至今。勒索软件的代码较小,在删除其自定义加壳程序后仅有48KB,并且使用高级编程语言(C/C++)进行编码。如同所有勒索软件一样,该恶意软件的目标是对可以加密的所有文件进行加密,并提出勒索,要求用户支付赎金以进行解密。
作为一个老牌勒索家族的变种,RagnarLocker勒索软件经常更改混淆技术以避免检测和预防。因此,此次FBI和CISA联合发布警告侧重于提供可用于检测和阻止Ragnar Locker勒索软件攻击的入侵指标 (IOC),包括有关攻击基础设施的信息、用于收集赎金的比特币地址以及该团伙运营商使用的电子邮件地址。
Ragnar Locker勒索组织的终止托管服务提供商 (MSP) 使用的是远程管理软件,包括ConnectWise、Kaseya,以此远程管理那些受感染的企业。而且这还有利于攻击者躲避系统检测,确保程登录的管理员不会干扰或阻止勒索软件部署过程。
共享Ragnar Locker攻击信息
FBI要求所有检测到Ragnar Locker勒索软件的企业和政府部门安全管理员或专家,应尽早与本地的FBI Cyber Squad联系并共享攻击的相关信息。此举将有助于识别该勒索软件背后的攻击者真实信息,包括勒索票据副本、勒索要求、恶意活动时间表、有效负载样本等。
同时FBI希望被勒索的企事业单位尽量不要向Ragnar Locker勒索组织支付赎金,因为即便支付了赎金也无法保证数据可以解密,或不被泄露。相反,支付赎金将进一步刺激勒索组织发起更广泛的攻击,并吸引更多的攻击者加入到勒索的队伍中。
当然,FBI也表示Ragnar Locker确实会给企业带来严重的伤害,这可能会迫使企业支付赎金,以此保护股东、客户和员工的权益。在告警中FBI还分享了阻止此类攻击的缓解措施,并强烈督促受害者第一时间向FBI报告该攻击事件。
参考来源:https://www.bleepingcomputer.com/news/security/fbi-ransomware-gang-breached-52-us-critical-infrastructure-orgs/