美国联邦调查局、网络安全和基础设施安全局最近联合发布了警告,Ragnar Locker勒索组织正在大规模攻击美国的关键基础设施。截至2022年1月,FBI已确定,至少有52个关键基础设施受到攻击,包括关键制造业、能源、金融服务、政府和信息技术。
资料显示,RagnarLocker2019年12月底,2020年4月,勒索软件首次出现FBI发现并一直活跃到今天。勒索软件的代码很小,只有在删除其自定义的外壳程序后48KB,使用高级编程语言(C/C )编码。与所有勒索软件一样,恶意软件的目标是加密所有可加密的文件,并要求用户支付解密赎金。
作为老牌勒索家族的变种,RagnarLocker勒索软件经常改变混淆技术,以避免检测和预防。因此,这一次FBI和CISA联合警告的重点是提供检测和预防Ragnar Locker勒索软件攻击的入侵指标 (IOC),包括攻击基础设施、收集赎金的比特币地址和团伙运营商使用的电子邮件地址。
Ragnar Locker终止托管服务提供商 (MSP) 使用远程管理软件,包括ConnectWise、Kaseya,远程管理感染企业。这也有助于攻击者避免系统检测,以确保程登录的管理员不会干扰或阻止勒索软件的部署过程。
共享Ragnar Locker攻击信息
FBI要求所有检测Ragnar Locker企业和政府部门的安全管理员或专家应尽快与当地人合作FBI Cyber Squad联系并共享攻击的相关信息。此举将有助于识别该勒索软件背后的攻击者真实信息,包括勒索票据副本、勒索要求、恶意活动时间表、有效负载样本等。
同时FBI希望被勒索的企事业单位尽量不要去Ragnar Locker勒索组织支付赎金,因为即使支付赎金,数据也不能解密或泄露。相反,支付赎金将进一步刺激勒索组织发起更广泛的攻击,并吸引更多的攻击者加入勒索团队。
当然,FBI也表示Ragnar Locker为了保护股东、客户和员工的权益,确实会给企业带来严重的伤害。在报警中FBI还分享了预防此类攻击的缓解措施,并强烈敦促受害者在第一时间前进FBI报告攻击事件。
参考来源:https://www.bleepingcomputer.com/news/security/fbi-ransomware-gang-breached-52-us-critical-infrastructure-orgs/