FBI warnt vor erneuter Ragnar Locker Ransomware-Aktivität
Das FBI hat einen neuen Flash-Alarm über neue Fälle von Ragnar Locker-Ransomware- Infektionen ausgegeben. Die Warnung (MU-000140-MW) kommt ungefähr sieben Monate nach dem ersten Angriff von Ragnar Locker vor sieben Monaten und soll Unternehmen dabei helfen, sich vor der anhaltenden Bedrohung zu schützen, die seit April 2020 Unternehmen im gesamten Wirtschaftsspektrum heimgesucht hat.
Inhaltsverzeichnis
Infektionsübersicht
Um sein Ziel zu erreichen, muss Ragnar Locker den Weg zum Netzwerk des Ziels finden und die darin enthaltenen Daten untersuchen.
Hinweis! Bevor Ragnar Locker in Aktion tritt, überprüft es das Systemgebietsschema des Opfers über die Windows-API GetLocaleInfoW-Funktion. Wenn sich herausstellt, dass sich das Opfer in Aserbaidschan, Armenien, Weißrussland, Kasachstan, Kirgisistan, Moldawien, Tadschikistan, Russland, Turkmenistan, Usbekistan, der Ukraine oder Georgien befindet, stoppt Ragnar Locker den Infektionsprozess und geht nicht weiter. Anscheinend sind PC-Benutzer mit Wohnsitz in einem dieser Länder derzeit von Ragnar Locker-Angriffen ausgenommen.
Andernfalls verwendet Ragnar Locker UPX, VMProtect sowie eine Reihe alternativer benutzerdefinierter ausführbarer Packer, um die Ransomware auf einem virtuellen Windows XP-Computer zu speichern und ihre Remoteangriffe auszuführen. Während der Untersuchung des Zielnetzwerks sucht Ragnar Locker nach weiteren laufenden Malware-Infektionen, die möglicherweise bereits begonnen haben. Nachdem alle erforderlichen Netzwerkdetails erfasst wurden, weist Ragnar Locker dem Zielnetzwerk eine eindeutige ID zu und gibt Briefe an nicht zugeordnete externe Laufwerke.
Ein selektiver Ansatz
Anstatt den normalen Betrieb innerhalb des gefährdeten Netzwerks zu blockieren, lässt Ragnar Locker Systemdateien und Tools zum Surfen im Internet intakt, damit der eigentliche Verschlüsselungsprozess im Hintergrund ausgeführt werden kann. Die Ransomware blockiert jedoch RAS-Tools, um zu verhindern, dass Netzwerkadministratoren den Angriff abfangen.
Referenzen
Die Gauner, die Ragnar Locker verwenden, wenden verschiedene Tools zur Verschleierung von Code an, um die Ransomware schwer fassbar zu machen. Darüber hinaus benennen sie die bei jedem Angriff verwendete Nutzlast nach dem NETBIOS-Namen des Ziels. Letzteres wird direkt neben der .RGNR-Erweiterung (.RGNR_) der Nutzlast angehängt.
Kein Stein auf dem anderen lassen
Diese Woche in Malware Episode 33 Teil 2: Campari Getränkehersteller & Capcom Gaming Company erleiden RagnarLocker Ransomware-Angriffe
Sobald Ragnar Locker mit der Verschlüsselung beginnt, wirkt sich dies auf jedes bestimmte logische Laufwerk im Netzwerk aus. Darüber hinaus wird sichergestellt, dass die vom Volume Shadow Copy Service erstellten Sicherungskopien gelöscht werden, indem sowohl die Befehle> vssadmin delete shadows / all / quiet als auch > wmic.exe.shadowcopy.delete angewendet werden. Die Infektion endet mit dem Lösegeldschein - einem Dokument namens RAGNAR_LOCKER.txt - mit Lösegeldzahlung und anderen Anweisungen.
Vorsichtsmaßnahmen
Ähnlich wie bei jedem anderen Ransomware-Angriff kann Ragnar Locker Massenschaden verursachen, dessen Wiederherstellung oft Opfer Millionen kostet. Aus diesem Grund sollten die herkömmlichen Maßnahmen zur Aufrechterhaltung von Offline-Backups, aktuellen AV-Lösungen, sicheren Wi-Fi-Hotstpots und VPNs sowie Tools zur Kennwortauthentifizierung mit mehreren Faktoren für große Unternehmen und kleine Unternehmen von größter Bedeutung bleiben.