Ragnar Locker atingiu 52 alvos críticos de infraestrutura nos EUA

Ragnar Locker atingiu 52 alvos críticos de infraestrutura nos EUA segundo FBI. Um alerta instantâneo emitido pela divisão cibernética da agência.

Ao fornecer uma lista atualizada de indicadores de comprometimento, o FBI revelou que vários setores críticos foram atacados pelo grupo de ransomware.

Nos últimos dois anos, a gangue de ransomware Ragnar Locker atacou mais de 50 entidades de infraestrutura crítica nos EUA, de acordo com o FBI.

Um alerta instantâneo emitido na segunda-feira, 07 de março, pela divisão cibernética da agência de aplicação da lei detalhou novos indicadores de comprometimento para a variante, que o FBI rastreou de abril de 2020 a janeiro de 2022. Durante esse período, o FBI observou “pelo menos 52 entidades em 10 setores críticos de infraestrutura” afetados pelo ransomware, incluindo manufatura crítica, energia, finanças, governo e tecnologia da informação.

Táticas de evasão sofisticadas e altas demandas de extorsão após a exfiltração de dados colocaram o Ragnar Locker no radar como uma ameaça às empresas. As técnicas de ofuscação da gangue foram tão bem-sucedidas que outros grupos de ransomware começaram a adotá-las .

Por exemplo, o alerta afirmou que, em vez de “escolher quais arquivos criptografar, o RagnarLocker escolhe quais pastas não criptografar“, o que engana o sistema para continuar operando normalmente enquanto o malware se espalha.

Os atores do ransomware RagnarLocker trabalham como parte de uma família de ransomware, mudando frequentemente as técnicas de ofuscação para evitar detecção e prevenção”, dizia o alerta.

Além disso, o FBI determinou que os operadores por trás de Ragnar Locker evitassem certos países, principalmente a Rússia. Antes da ação de aplicação da lei russa no início deste ano contra outro grupo de ransomware, REvil, conversas na dark web revelaram que os atores se sentiam seguros operando na Rússia.

Se a localização da vítima for identificada como ‘Azerbaijano’, ‘Armênio’, ‘Bielorrússia’, ‘Cazaque’, ‘Quirguistão’, ‘Moldávio’, ‘Tajique’, ‘Russo’, ‘Turquemeno’, ‘Uzbeque’, ‘Ucraniano ‘ ou ‘Georgian’, o processo termina“, dizia o alerta.

O alerta destacou o uso repetido de APIs do Windows, incluindo GetLocaleInfoW , para determinar a localização do sistema de destino. O ransomware também tenta excluir todas as cópias de sombra de volume de dados usando dois comandos: >vssadmin delete shadows /all /quiet e >wmic.exe.shadowcopy.delete .

Um relatório do mês passado do fornecedor de segurança industrial Dragos descobriu que, em 2021, o ransomware era a principal ameaça contra sistemas de controle industrial e tecnologia operacional. Um dos principais alvos foram indústrias, responsável por 211 ataques de ransomware. Embora o LockBit 2.0 e o Conti tenham causado mais da metade do total de ataques de ransomware contra o setor industrial, Ragnar Locker também fez parte da lista.

O alerta do FBI também forneceu indicadores de comprometimento e ofereceu etapas de mitigação, como segmentação de rede, uso de autenticação multifator, desabilitação de acessos remotos não utilizados e auditoria de contas de usuários com privilégios de administrador.

Fonte: TechTarget

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!